home search menu
Il controllo datoriale delle comunicazioni elettroniche del lavoratore dopo la sentenza <i>Barbulescu 2</i> della Cedu
Osservatorio internazionale
Il controllo datoriale delle comunicazioni elettroniche del lavoratore dopo la sentenza Barbulescu 2 della Cedu
di Francesco Buffa
consigliere della Corte di cassazione, distaccato alla Corte europea dei diritti dell’uomo
La sentenza Barbulescu c. Romania del 5 settembre 2017 della Grande Camera della Corte Edu, in riforma del precedente della Camera semplice del 12 gennaio 2016, riscrive le linee fondamentali di protezione del lavoratore dal controllo datoriale sulle e-mail aziendali

Il potere di controllo del datore di lavoro sulle comunicazioni del lavoratore trasmesse tramite strumenti informatici aziendali, in presenza di policy aziendale che recante espresso ma generico divieto di uso delle risorse aziendali per scopi personali, ha avuto fino ad oggi nel sistema giuridico italiano un riconoscimento ampio.

In sede penale, si è esclusa − in capo al datore di lavoro che controlli le comunicazioni elettroniche del lavoratore − la configurabilità del reato di violazione della corrispondenza e di accesso abusivo a sistema informatico (Cass., n. 47096/07 e Trib. Milano, 10 maggio 2002), pur riconoscendosi la pertinenza della casella di posta al lavoratore (Cass., n. 38331/16).

La giurisprudenza del lavoro, dal canto suo, ha escluso dall’ambito di applicazione dell’art. 4 dello Statuto dei lavoratori (e dai limiti al controllo a distanza del lavoratore dallo stesso previsti) i cd. controlli difensivi, che il datore poneva in essere per dimostrare un illecito posto in essere dal lavoratore (Cass. n. 4746/2002; n. 4375/2010), giungendo peraltro, attraverso un’estensione della nozione, a legittimare fatti penalmente indifferenti e rilevanti solo sul piano disciplinare o in relazione alla mera difesa dell’immagine aziendale (Cass., n. 2722/2012) o addirittura al corretto adempimento della prestazione lavorativa (sul tema specifico dei controlli datoriali sulla navigazione Internet del lavoratore – Trib. Milano, 16 giugno 2001 e Trib. Genova, 2 maggio 2005; Cass., n. 16622/2012 ed altre successive – come noto, hanno però poi escluso che i dati dei controlli a distanza possano essere utilizzati per provare l’inadempimento contrattuale dei lavoratori medesimi).

Più di recente, altra pronuncia di legittimità (Cass., n. 17859/2014) ha ammesso la legittimità del licenziamento del lavoratore che aveva violato il divieto di accesso alla rete Internet e di utilizzo della posta elettronica per scopi personali, divieto contenuto nel codice disciplinare affisso nella bacheca aziendale (nella specie, peraltro, si trattava di un complesso di condotte illecite, in quanto il dipendente aveva installato programmi di file-sharing, software per l’accesso alla e-mail personale ed effettuato il download di foto e filmati pornografici).

Altra sentenza ancora (Cass., n. 22353/2015) ha sottolineato la necessità di far riferimento alle sanzioni previste dalla contrattazione collettiva per l’uso indebito delle risorse informatiche e della posta elettronica.

Perfino la giurisprudenza contabile è intervenuta in materia, ravvisando la responsabilità del dipendente pubblico per il danno cagionato all’amministrazione in relazione al tempo di lavoro sottratto durante le attività su Internet per scopi personali (Corte dei conti del Piemonte, 13 novembre 2003).

La dottrina, dal canto suo, con specifico riferimento all’uso di Internet sul lavoro per scopi personali, ha affermato in diverse occasioni la liceità del controllo datoriale, fondandolo sulla proprietà degli strumenti aziendali (la proprietà degli strumenti aziendali e amministrativi consente al datore di disporre del relativo uso come ritiene più opportuno e di pretendere che sia effettuato un utilizzo degli stessi conforme alle direttive), sulla correlata responsabilità del datore (il proprietario di un sistema di computer in rete è responsabile per tutte le relative utilizzazioni verso i terzi, siano esse di natura professionale come personale), o ancora sull’obbligo di lavoro (sicché l’uso improprio o abusivo degli strumenti di lavoro da parte dei dipendenti può costituire un inadempimento alle obbligazioni del contratto di lavoro).

Le obiezioni di chi richiamava le esigenze di protezione della privacy del lavoratore nel luogo di lavoro o, con riferimento alle email del lavoratore o alla messaggistica, la protezione delle comunicazioni, sono state dai più superate attraverso la valorizzazione della policy aziendale, quale strumento da rendere noto preventivamente al lavoratore e con il quale si può legittimamente prevedere il divieto all’uso per scopi personali degli strumenti informatici sul posto di lavoro, senza che il lavoratore possa poi invocare alcuna “aspettativa di privacy”.

Di recente, è intervenuto lo stesso legislatore, con il Jobs Act del d.lgs n. 151/2015, riscrivendo l’art. 4 dello Statuto dei lavoratori, in modo che da un lato si escludono gli strumenti utilizzati dal lavoratore per rendere la prestazione lavorativa dagli strumenti di controllo per i quali è prescritta apposita procedura collettiva/amministrativa autorizzatoria e, dall’altro lato, si consente l’utilizzazione delle informazioni raccolte attraverso i detti strumenti «a tutti i fini connessi al rapporto di lavoro», sia pur alla duplice condizione che al lavoratore sia data adeguata informazione delle modalità di uso degli strumenti e dell’effettuazione dei controlli e che gli strumenti siano utilizzati nel rispetto del codice della privacy.

A tale quadro, si è poi aggiunta la sentenza della Cedu del 12 gennaio 2016 (Barbulescu v. Romania): nel caso, caratterizzato da un divieto espresso di uso dei computer aziendali per scopi personali contenuto in un regolamento interno reso noto ai dipendenti, la Corte aveva ritenuto legittimo il monitoraggio fatto dal datore sulle comunicazioni elettroniche (nella specie tramite il programma Messenger) del lavoratore e legittimo altresì il successivo licenziamento del lavoratore per il solo fatto della violazione della policy aziendale.

In quell’occasione, la decisione ha suscitato le critiche veementi di un giudice dissenziente che, configurato l’accesso ad Internet quale diritto umano, ha sottolineato la protezione delle comunicazioni Internet del lavoratore in varie fonti del diritto internazionale, ed ha evidenziato che la policy aziendale non può rilevare se «poorly drafted», ossia se non prevede e salvaguarda una serie di tutele in favore del lavoratore, fermo restando in ogni caso la necessità della verifica della proporzionalità della sanzione irrogata dal datore – all’esito del controllo delle comunicazioni del lavoratore – rispetto al fatto ascritto.

In data 5 settembre 2017, la Gande Chambre della Corte europea, a seguito di referral del ricorrente, è tornata sul tema, pervenendo, a maggioranza, ad una soluzione del tutto diversa dal proprio specifico precedente, e stabilendo alcuni principi fondamentali:

- l’applicabilità della protezione della privacy anche nel caso in cui il datore di lavoro abbia approvato specifica policy recante espresso divieto di uso delle e-mail aziendali per scopi personali;

- l’affermazione dell’obbligo dello Stato, pur in presenza di un ampio margine di apprezzamento, di assicurare che siano predisposte misure protettive contro eventuali abusi da parte del datore di lavoro;

- l’affermazione che la compliance degli Stati con l’obbligazione positiva di protezione della privacy dei lavoratori è assicurata da vari fattori, tra i quali in particolare rilevano la previa informativa datoriale circa la facoltà di monitoraggio delle e-mail, la portata ed estensione del controllo, la giustificazione dello stesso, la configurabilità di misure alternative meno invasive, la gravità delle conseguenze del controllo, la previsione di garanzie in favore del dipendente. Tutti tali fattori, infatti, incidono sull’equo contemperamento degli interessi confliggenti, che gli Stati devono assicurare a garanzia della protezione del diritto di cui all’articolo 8 della Convenzione.

La sentenza è importante non solo per il cambio di rotta rispetto al precedente specifico, non solo in quanto si ritiene essenziale la predisposizione di una policy aziendale in difetto della quale nessun controllo datoriale appare legittimo (il relativo principio era già stato affermato dalla stessa Corte nella sentenza Copland v. Regno Unito di Gran Bretagna del 2007, su ricorso n. 62617/2000), ma perché si indica analiticamente quale debba essere il contenuto della policy e quali tutele spettino in ogni caso al lavoratore.

In tal senso, degni di nota sono, in particolare, i punti 121 e 122 della sentenza, ove si elenca una sorta di decalogo che la policy aziendale deve rispettare a tutela del lavoratore, le cui garanzie devono necessariamente essere protette dalle autorità nazionali, pena l’illegittimità del controllo datoriale; si deve così verificare:

«(i) se il dipendente sia stato preventivamente informato della possibilità che il datore di lavoro controlli la corrispondenza e altre comunicazioni e dell’attuazione di tali misure;

(ii) quale sia l’estensione del controllo da parte del datore di lavoro e il grado di intrusione nella privacy del dipendente, distinguendo in proposito tra il monitoraggio del flusso delle comunicazioni e del loro contenuto, nonché il carattere totale o parziale dei dati monitorati, la durata nel tempo del monitoraggio, il numero di persone che hanno avuto accesso ai risultati, l’esistenza o l’assenza di limiti spaziali del monitoraggio;

(iii) se il datore di lavoro abbia fornito motivazioni legittime per giustificare il monitoraggio delle comunicazioni e l’accesso ai loro contenuti effettivi, posto che il monitoraggio del contenuto delle comunicazioni è per natura un metodo chiaramente più invasivo, richiede una giustificazione più ampia;

(iv) se fosse stato possibile istituire un sistema di monitoraggio basato su metodi e misure meno intrusivi che non accedere direttamente al contenuto delle comunicazioni del dipendente, e se dunque l’obiettivo perseguito dal datore di lavoro avesse potuto essere raggiunto senza accedere direttamente all’intero contenuto delle comunicazioni del dipendente;

(v) quali siano le conseguenze del monitoraggio per il lavoratore subordinato e quale l’uso da parte del datore di lavoro dei risultati dell’operazione di monitoraggio, in particolare se tale uso sia conforme con lo scopo perseguito e dichiarato, e se sia necessario in relazione allo stesso;

(vi) se siano state predisposte adeguate misure di salvaguardia in favore del lavoratore, in particolare quando le attività di controllo del datore di lavoro siano di natura intrusiva, prevedendosi ad esempio che il datore di lavoro non possa accedere al contenuto effettivo delle comunicazioni, a meno che il lavoratore non sia stato avvisato in anticipo di tale eventualità».

Infine, si prevede che le autorità nazionali devono assicurare che un dipendente la cui comunicazione sia stata monitorata abbia accesso a un rimedio davanti a un organo giudiziario competente a determinare, almeno in sostanza, come siano stati osservati i criteri predetti e se le misure contestate siano state legittime.

Non si tratta dunque solo – bisogna sottolinearlo con forza – di prevedere una policy dal contenuto ampia, con l’indicazione delle garanzie del lavoro sopra indicate, ma di assicurare concretamente strumenti operativi con i quali rendere effettive quelle garanzie.

La vicenda non è stata a senso unico a favore del lavoratore, e stupisce nella sentenza il mancato riconoscimento del risarcimento dei danni materiali e morali in favore del lavoratore, danni pur notevoli e causalmente riconducibili alla violazione dell’art. 8 della Convenzione (posto che sulla base ed all’esito del controllo illecito il lavoratore ha perso il lavoro e le retribuzioni, mentre il mero accertamento della violazione della Convenzione da parte dello Stato – a tacer dello scarso rilievo dissuasivo verso l’autore dell’illecito – è sempre magra consolazione per chi ha subito danni morali dalla lesione di un suo diritto fondamentale).

Per altro verso, la decisione Barbulescu 2 non è stata unanime, e diverse opinioni dissenzienti (tra cui quella del giudice italiano) hanno richiamato l’assenza di un european consensus in materia e, correlativamente, l’ampio margine di apprezzamento di cui gli Stati dispongono in materia, che consente agli ordinamenti nazionali di prevedere forme di tutela non necessariamente laburistiche (ma, ad esempio, penalistiche, di tutela della privacy o civilistiche nell’ambito della tort law), una posizione questa che presuppone che il lavoratore possa veder tutelati i suoi diritti ovunque, ma non all’interno del rapporto di lavoro privato (rispetto al quale gli obblighi positivi dello Stato di protezione ex art. 8 della Convenzione si dovrebbero, chissà perché, arrestare).

La sentenza Barbulescu 2 (che – sebbene resa verso altro Paese – reca i consueti effetti delle sentenze Cedu nei confronti degli ordinamenti degli altri Paesi) rende dunque operanti direttamente all’interno del rapporto di lavoro tutte le garanzie che la disciplina della privacy in genere prevede nel trattamento dei dati personali ed ha dunque un contenuto fortemente progressivo per le tutele del lavoro che vengono in tal modo ad essere consacrate.

Ciò rileva in particolare per l’ordinamento italiano, ove il Garante della privacy ha in più occasioni (dapprima nelle Linee Guida per posta elettronica ed Internet del 2007 e poi vari provvedimenti dal 2006 ad oggi, in particolare quelli del 2 febbraio 2006, 2 aprile 2008, 13 luglio 2016, 12 ottobre 2016, 22 dicembre 2016) previsto vari ed intensi limiti al controllo della posta elettronica dei dipendenti ed anche la Cassazione, in un’occasione (n. 18443/2013), ha applicato al trattamento dei dati del lavoratore operato dal datore per dimostrare l’illiceità della condotta di un suo dipendente (consistita in reiterati e non autorizzati accessi alla rete effettuati sul luogo di lavoro) i canoni della correttezza, pertinenza, necessità e non eccedenza rispetto alle finalità del loro utilizzo previsti dalla legge sulla privacy, nonché i principi rafforzati relativi alla tutela dei dati sensibili.

Dopo la Barbulescu 2, non sembra potersi più dubitare, allora, che i detti limiti oggi valgano non solo ai fini del trattamento lecito dei dati personali (e dell’eventuale risarcimento danni che compete all’interessato in caso di violazione, sulla base della legge sulla privacy),  ma anche ai fini della legittimità del controllo datoriale per ogni aspetto rilevante nell’ambito del rapporto di lavoro (ad esempio a fini di valutazione del lavoratore o a fini disciplinari), sicché le previsioni di policy aziendali, codici disciplinari, norme contrattuali possono assumere rilievo solo nei limiti evidenziati, dovendo invece in ogni caso essere assicurati in favore del lavoratore strumenti di tutela (e quell’ampia gamma di strumenti sopra indicati) verso i controlli a distanza, pur preterintenzionali, posti in essere dal datore di lavoro.

18 ottobre 2017
Se ti piace questo articolo e trovi interessante la nostra rivista, iscriviti alla newsletter per ricevere gli aggiornamenti sulle nuove pubblicazioni.
CEDU, pillole di settembre
CEDU, pillole di settembre
di Alice Pisapia
Le più interessanti pronunce della Corte Edu emesse a settembre 2018
7 dicembre 2018
Tanto rumor per nulla
Tanto rumor per nulla
Dopo quasi sei anni di attesa, la Corte Edu radia dal ruolo il caso Berlusconi c. Italia
27 novembre 2018
Nella “fedeltà” del lavoratore subordinato il rimosso di un rapporto giuridico
CEDU, pillole di luglio
CEDU, pillole di luglio
di Alice Pisapia
Le più interessanti pronunce della Corte Edu emesse a luglio 2018
16 novembre 2018
Al centro, il Giudice. La Corte costituzionale ed il Jobs act
Al centro, il Giudice. La Corte costituzionale ed il Jobs act
di Rita Sanlorenzo* e Anna Terzi**
Con la sentenza n. 194/2018, che dichiara l’illegittimità costituzionale dell’art. 3, comma 1, del decreto legislativo 4 marzo 2015, n. 23 (cd. Jobs act) relativamente alla previsione di un automatismo collegato all’anzianità di servizio per la liquidazione dell’indennità in caso di licenziamento illegittimo, la Corte costituzionale riafferma l’ineludibilità del potere discrezionale del giudice nell’individuare il punto di equilibrio nel bilanciamento tra i diversi principi costituzionali
9 novembre 2018
Provenzano c. Italia, la Corte Edu condanna l’Italia per violazione dell’articolo 3 Cedu
Provenzano c. Italia, la Corte Edu condanna l’Italia per violazione dell’articolo 3 Cedu
Anticipiamo una sintesi del contenuto della decisione cui seguiranno i necessari commenti e approfondimenti. Nella motivazione del provvedimento che ha esteso il 41-bis non si è fatto un accertamento approfondito del deterioramento delle capacità cognitive del detenuto
25 ottobre 2018
Gestation pour autrui: la prima richiesta di parere consultivo alla Cedu
Gestation pour autrui: la prima richiesta di parere consultivo alla Cedu
di Francesco Buffa
Il nuovo istituto del parere consultivo alla Cedu, introdotto dal Protocollo addizionale n. 16, è stato attivato per la prima volta dalla Corte di cassazione francese, che ha richiesto un doppio parere in materia del cd. utero surrogato, in relazione alla trascrizione di atti dello stato civile formati all’estero ed al procedimento di adozione
11 ottobre 2018
Il dialogo fra le Corti e le sorti (sembra non magnifiche, né progressive) dell’integrazione europea
Il dialogo fra le Corti e le sorti (sembra non magnifiche, né progressive) dell’integrazione europea
di Antonello Cosentino
Il giudice comune nazionale ha sempre avuto con la Cgue relazioni più fluide rispetto a quelle intrattenute con la Cedu. A partire dalla sentenza 14 dicembre 2017 n. 269 della Corte costituzionale, però, lo schema dell’applicazione diretta del diritto euro-unitario da parte del giudice nazionale sembra essere stato rimesso in discussione. La Corte costituzionale ha rivendicato la propria centralità nella dialettica tra giudice comune, giudice costituzionale e Cgue. Dagli equilibri che si raggiungeranno in tale dialettica dipenderà grande parte del ruolo che il giudice nazionale giocherà nel futuro dell’integrazione europea
1 ottobre 2018
La Corte Edu attaccata, ieri e oggi. Di chi è la colpa?
La Corte Edu attaccata, ieri e oggi. Di chi è la colpa?
di Roberto Conti
La vicenda dell’evacuazione del campo rom di Camping River, attuata nonostante la sospensione disposta dalla Corte Edu in via d’urgenza, è l’occasione per una riflessione su una cultura giuridica sovranista che dimentica le ragioni che hanno portato gli Stati a creare una Corte europea pace di tutelare i diritti umani anche davanti ad azioni delle autorità nazionali. Un campanello d’allarme e un invito a cambiar strada
28 luglio 2018
CEDU, pillole di maggio
CEDU, pillole di maggio
di Alice Pisapia
Le più interessanti pronunce della Corte Edu emesse a maggio 2018
24 luglio 2018
Newsletter


Fascicolo 2/2018
Giustizia e disabilità

La riforma spezzata.
Come cambia
l’ordinamento penitenziario
Osservatorio internazionale
Cepej, adottata la prima Carta etica europea sull'uso dell'intelligenza artificiale (AI) nei sistemi giudiziari
Cepej, adottata la prima Carta etica europea sull'uso dell'intelligenza artificiale (AI) nei sistemi giudiziari
di Clementina Barbaro (a cura)
L'auspicio è che questi principi diventino un punto di riferimento per i professionisti del diritto, le istituzioni e gli attori politici che si trovano ad affrontare la sfida di integrare le nuove tecnologie basate sull' IA nelle politiche pubbliche o nel loro lavoro quotidiano
7 dicembre 2018
CEDU, pillole di settembre
CEDU, pillole di settembre
di Alice Pisapia
Le più interessanti pronunce della Corte Edu emesse a settembre 2018
7 dicembre 2018
Tanto rumor per nulla
Tanto rumor per nulla
Dopo quasi sei anni di attesa, la Corte Edu radia dal ruolo il caso Berlusconi c. Italia
27 novembre 2018
CGUE, pillole di settembre
CGUE, pillole di settembre
di Alice Pisapia
Le più interessanti pronunce della Corte del Lussemburgo emesse a settembre 2018
23 novembre 2018
CEDU, pillole di luglio
CEDU, pillole di luglio
di Alice Pisapia
Le più interessanti pronunce della Corte Edu emesse a luglio 2018
16 novembre 2018
L’Apartheid e oltre. L’esperienza delle Legal Aid Clinics in Sudafrica
L’Apartheid e oltre. L’esperienza delle Legal Aid Clinics in Sudafrica
di Elettra Aldinio
Le Legal Aid Clinics in Sudafrica durante l’Apartheid furono uno spiraglio di luce nel naufragio dei diritti. Oggi svolgono il loro compito nella consapevolezza, segnata da Mandela, che l’arma più potente è l’educazione dei cittadini
13 novembre 2018