home search menu
Il controllo datoriale delle comunicazioni elettroniche del lavoratore dopo la sentenza <i>Barbulescu 2</i> della Cedu
Osservatorio internazionale
Il controllo datoriale delle comunicazioni elettroniche del lavoratore dopo la sentenza Barbulescu 2 della Cedu
di Francesco Buffa
consigliere della Corte di cassazione distacccato alla Corte europea dei diritti dell’Uomo
La sentenza Barbulescu c. Romania del 5 settembre 2017 della Grande Camera della Corte Edu, in riforma del precedente della Camera semplice del 12 gennaio 2016, riscrive le linee fondamentali di protezione del lavoratore dal controllo datoriale sulle e-mail aziendali

Il potere di controllo del datore di lavoro sulle comunicazioni del lavoratore trasmesse tramite strumenti informatici aziendali, in presenza di policy aziendale che recante espresso ma generico divieto di uso delle risorse aziendali per scopi personali, ha avuto fino ad oggi nel sistema giuridico italiano un riconoscimento ampio.

In sede penale, si è esclusa − in capo al datore di lavoro che controlli le comunicazioni elettroniche del lavoratore − la configurabilità del reato di violazione della corrispondenza e di accesso abusivo a sistema informatico (Cass., n. 47096/07 e Trib. Milano, 10 maggio 2002), pur riconoscendosi la pertinenza della casella di posta al lavoratore (Cass., n. 38331/16).

La giurisprudenza del lavoro, dal canto suo, ha escluso dall’ambito di applicazione dell’art. 4 dello Statuto dei lavoratori (e dai limiti al controllo a distanza del lavoratore dallo stesso previsti) i cd. controlli difensivi, che il datore poneva in essere per dimostrare un illecito posto in essere dal lavoratore (Cass. n. 4746/2002; n. 4375/2010), giungendo peraltro, attraverso un’estensione della nozione, a legittimare fatti penalmente indifferenti e rilevanti solo sul piano disciplinare o in relazione alla mera difesa dell’immagine aziendale (Cass., n. 2722/2012) o addirittura al corretto adempimento della prestazione lavorativa (sul tema specifico dei controlli datoriali sulla navigazione Internet del lavoratore – Trib. Milano, 16 giugno 2001 e Trib. Genova, 2 maggio 2005; Cass., n. 16622/2012 ed altre successive – come noto, hanno però poi escluso che i dati dei controlli a distanza possano essere utilizzati per provare l’inadempimento contrattuale dei lavoratori medesimi).

Più di recente, altra pronuncia di legittimità (Cass., n. 17859/2014) ha ammesso la legittimità del licenziamento del lavoratore che aveva violato il divieto di accesso alla rete Internet e di utilizzo della posta elettronica per scopi personali, divieto contenuto nel codice disciplinare affisso nella bacheca aziendale (nella specie, peraltro, si trattava di un complesso di condotte illecite, in quanto il dipendente aveva installato programmi di file-sharing, software per l’accesso alla e-mail personale ed effettuato il download di foto e filmati pornografici).

Altra sentenza ancora (Cass., n. 22353/2015) ha sottolineato la necessità di far riferimento alle sanzioni previste dalla contrattazione collettiva per l’uso indebito delle risorse informatiche e della posta elettronica.

Perfino la giurisprudenza contabile è intervenuta in materia, ravvisando la responsabilità del dipendente pubblico per il danno cagionato all’amministrazione in relazione al tempo di lavoro sottratto durante le attività su Internet per scopi personali (Corte dei conti del Piemonte, 13 novembre 2003).

La dottrina, dal canto suo, con specifico riferimento all’uso di Internet sul lavoro per scopi personali, ha affermato in diverse occasioni la liceità del controllo datoriale, fondandolo sulla proprietà degli strumenti aziendali (la proprietà degli strumenti aziendali e amministrativi consente al datore di disporre del relativo uso come ritiene più opportuno e di pretendere che sia effettuato un utilizzo degli stessi conforme alle direttive), sulla correlata responsabilità del datore (il proprietario di un sistema di computer in rete è responsabile per tutte le relative utilizzazioni verso i terzi, siano esse di natura professionale come personale), o ancora sull’obbligo di lavoro (sicché l’uso improprio o abusivo degli strumenti di lavoro da parte dei dipendenti può costituire un inadempimento alle obbligazioni del contratto di lavoro).

Le obiezioni di chi richiamava le esigenze di protezione della privacy del lavoratore nel luogo di lavoro o, con riferimento alle email del lavoratore o alla messaggistica, la protezione delle comunicazioni, sono state dai più superate attraverso la valorizzazione della policy aziendale, quale strumento da rendere noto preventivamente al lavoratore e con il quale si può legittimamente prevedere il divieto all’uso per scopi personali degli strumenti informatici sul posto di lavoro, senza che il lavoratore possa poi invocare alcuna “aspettativa di privacy”.

Di recente, è intervenuto lo stesso legislatore, con il Jobs Act del d.lgs n. 151/2015, riscrivendo l’art. 4 dello Statuto dei lavoratori, in modo che da un lato si escludono gli strumenti utilizzati dal lavoratore per rendere la prestazione lavorativa dagli strumenti di controllo per i quali è prescritta apposita procedura collettiva/amministrativa autorizzatoria e, dall’altro lato, si consente l’utilizzazione delle informazioni raccolte attraverso i detti strumenti «a tutti i fini connessi al rapporto di lavoro», sia pur alla duplice condizione che al lavoratore sia data adeguata informazione delle modalità di uso degli strumenti e dell’effettuazione dei controlli e che gli strumenti siano utilizzati nel rispetto del codice della privacy.

A tale quadro, si è poi aggiunta la sentenza della Cedu del 12 gennaio 2016 (Barbulescu v. Romania): nel caso, caratterizzato da un divieto espresso di uso dei computer aziendali per scopi personali contenuto in un regolamento interno reso noto ai dipendenti, la Corte aveva ritenuto legittimo il monitoraggio fatto dal datore sulle comunicazioni elettroniche (nella specie tramite il programma Messenger) del lavoratore e legittimo altresì il successivo licenziamento del lavoratore per il solo fatto della violazione della policy aziendale.

In quell’occasione, la decisione ha suscitato le critiche veementi di un giudice dissenziente che, configurato l’accesso ad Internet quale diritto umano, ha sottolineato la protezione delle comunicazioni Internet del lavoratore in varie fonti del diritto internazionale, ed ha evidenziato che la policy aziendale non può rilevare se «poorly drafted», ossia se non prevede e salvaguarda una serie di tutele in favore del lavoratore, fermo restando in ogni caso la necessità della verifica della proporzionalità della sanzione irrogata dal datore – all’esito del controllo delle comunicazioni del lavoratore – rispetto al fatto ascritto.

In data 5 settembre 2017, la Gande Chambre della Corte europea, a seguito di referral del ricorrente, è tornata sul tema, pervenendo, a maggioranza, ad una soluzione del tutto diversa dal proprio specifico precedente, e stabilendo alcuni principi fondamentali:

- l’applicabilità della protezione della privacy anche nel caso in cui il datore di lavoro abbia approvato specifica policy recante espresso divieto di uso delle e-mail aziendali per scopi personali;

- l’affermazione dell’obbligo dello Stato, pur in presenza di un ampio margine di apprezzamento, di assicurare che siano predisposte misure protettive contro eventuali abusi da parte del datore di lavoro;

- l’affermazione che la compliance degli Stati con l’obbligazione positiva di protezione della privacy dei lavoratori è assicurata da vari fattori, tra i quali in particolare rilevano la previa informativa datoriale circa la facoltà di monitoraggio delle e-mail, la portata ed estensione del controllo, la giustificazione dello stesso, la configurabilità di misure alternative meno invasive, la gravità delle conseguenze del controllo, la previsione di garanzie in favore del dipendente. Tutti tali fattori, infatti, incidono sull’equo contemperamento degli interessi confliggenti, che gli Stati devono assicurare a garanzia della protezione del diritto di cui all’articolo 8 della Convenzione.

La sentenza è importante non solo per il cambio di rotta rispetto al precedente specifico, non solo in quanto si ritiene essenziale la predisposizione di una policy aziendale in difetto della quale nessun controllo datoriale appare legittimo (il relativo principio era già stato affermato dalla stessa Corte nella sentenza Copland v. Regno Unito di Gran Bretagna del 2007, su ricorso n. 62617/2000), ma perché si indica analiticamente quale debba essere il contenuto della policy e quali tutele spettino in ogni caso al lavoratore.

In tal senso, degni di nota sono, in particolare, i punti 121 e 122 della sentenza, ove si elenca una sorta di decalogo che la policy aziendale deve rispettare a tutela del lavoratore, le cui garanzie devono necessariamente essere protette dalle autorità nazionali, pena l’illegittimità del controllo datoriale; si deve così verificare:

«(i) se il dipendente sia stato preventivamente informato della possibilità che il datore di lavoro controlli la corrispondenza e altre comunicazioni e dell’attuazione di tali misure;

(ii) quale sia l’estensione del controllo da parte del datore di lavoro e il grado di intrusione nella privacy del dipendente, distinguendo in proposito tra il monitoraggio del flusso delle comunicazioni e del loro contenuto, nonché il carattere totale o parziale dei dati monitorati, la durata nel tempo del monitoraggio, il numero di persone che hanno avuto accesso ai risultati, l’esistenza o l’assenza di limiti spaziali del monitoraggio;

(iii) se il datore di lavoro abbia fornito motivazioni legittime per giustificare il monitoraggio delle comunicazioni e l’accesso ai loro contenuti effettivi, posto che il monitoraggio del contenuto delle comunicazioni è per natura un metodo chiaramente più invasivo, richiede una giustificazione più ampia;

(iv) se fosse stato possibile istituire un sistema di monitoraggio basato su metodi e misure meno intrusivi che non accedere direttamente al contenuto delle comunicazioni del dipendente, e se dunque l’obiettivo perseguito dal datore di lavoro avesse potuto essere raggiunto senza accedere direttamente all’intero contenuto delle comunicazioni del dipendente;

(v) quali siano le conseguenze del monitoraggio per il lavoratore subordinato e quale l’uso da parte del datore di lavoro dei risultati dell’operazione di monitoraggio, in particolare se tale uso sia conforme con lo scopo perseguito e dichiarato, e se sia necessario in relazione allo stesso;

(vi) se siano state predisposte adeguate misure di salvaguardia in favore del lavoratore, in particolare quando le attività di controllo del datore di lavoro siano di natura intrusiva, prevedendosi ad esempio che il datore di lavoro non possa accedere al contenuto effettivo delle comunicazioni, a meno che il lavoratore non sia stato avvisato in anticipo di tale eventualità».

Infine, si prevede che le autorità nazionali devono assicurare che un dipendente la cui comunicazione sia stata monitorata abbia accesso a un rimedio davanti a un organo giudiziario competente a determinare, almeno in sostanza, come siano stati osservati i criteri predetti e se le misure contestate siano state legittime.

Non si tratta dunque solo – bisogna sottolinearlo con forza – di prevedere una policy dal contenuto ampia, con l’indicazione delle garanzie del lavoro sopra indicate, ma di assicurare concretamente strumenti operativi con i quali rendere effettive quelle garanzie.

La vicenda non è stata a senso unico a favore del lavoratore, e stupisce nella sentenza il mancato riconoscimento del risarcimento dei danni materiali e morali in favore del lavoratore, danni pur notevoli e causalmente riconducibili alla violazione dell’art. 8 della Convenzione (posto che sulla base ed all’esito del controllo illecito il lavoratore ha perso il lavoro e le retribuzioni, mentre il mero accertamento della violazione della Convenzione da parte dello Stato – a tacer dello scarso rilievo dissuasivo verso l’autore dell’illecito – è sempre magra consolazione per chi ha subito danni morali dalla lesione di un suo diritto fondamentale).

Per altro verso, la decisione Barbulescu 2 non è stata unanime, e diverse opinioni dissenzienti (tra cui quella del giudice italiano) hanno richiamato l’assenza di un european consensus in materia e, correlativamente, l’ampio margine di apprezzamento di cui gli Stati dispongono in materia, che consente agli ordinamenti nazionali di prevedere forme di tutela non necessariamente laburistiche (ma, ad esempio, penalistiche, di tutela della privacy o civilistiche nell’ambito della tort law), una posizione questa che presuppone che il lavoratore possa veder tutelati i suoi diritti ovunque, ma non all’interno del rapporto di lavoro privato (rispetto al quale gli obblighi positivi dello Stato di protezione ex art. 8 della Convenzione si dovrebbero, chissà perché, arrestare).

La sentenza Barbulescu 2 (che – sebbene resa verso altro Paese – reca i consueti effetti delle sentenze Cedu nei confronti degli ordinamenti degli altri Paesi) rende dunque operanti direttamente all’interno del rapporto di lavoro tutte le garanzie che la disciplina della privacy in genere prevede nel trattamento dei dati personali ed ha dunque un contenuto fortemente progressivo per le tutele del lavoro che vengono in tal modo ad essere consacrate.

Ciò rileva in particolare per l’ordinamento italiano, ove il Garante della privacy ha in più occasioni (dapprima nelle Linee Guida per posta elettronica ed Internet del 2007 e poi vari provvedimenti dal 2006 ad oggi, in particolare quelli del 2 febbraio 2006, 2 aprile 2008, 13 luglio 2016, 12 ottobre 2016, 22 dicembre 2016) previsto vari ed intensi limiti al controllo della posta elettronica dei dipendenti ed anche la Cassazione, in un’occasione (n. 18443/2013), ha applicato al trattamento dei dati del lavoratore operato dal datore per dimostrare l’illiceità della condotta di un suo dipendente (consistita in reiterati e non autorizzati accessi alla rete effettuati sul luogo di lavoro) i canoni della correttezza, pertinenza, necessità e non eccedenza rispetto alle finalità del loro utilizzo previsti dalla legge sulla privacy, nonché i principi rafforzati relativi alla tutela dei dati sensibili.

Dopo la Barbulescu 2, non sembra potersi più dubitare, allora, che i detti limiti oggi valgano non solo ai fini del trattamento lecito dei dati personali (e dell’eventuale risarcimento danni che compete all’interessato in caso di violazione, sulla base della legge sulla privacy),  ma anche ai fini della legittimità del controllo datoriale per ogni aspetto rilevante nell’ambito del rapporto di lavoro (ad esempio a fini di valutazione del lavoratore o a fini disciplinari), sicché le previsioni di policy aziendali, codici disciplinari, norme contrattuali possono assumere rilievo solo nei limiti evidenziati, dovendo invece in ogni caso essere assicurati in favore del lavoratore strumenti di tutela (e quell’ampia gamma di strumenti sopra indicati) verso i controlli a distanza, pur preterintenzionali, posti in essere dal datore di lavoro.

18 ottobre 2017
Se ti piace questo articolo e trovi interessante la nostra rivista, iscriviti alla newsletter per ricevere gli aggiornamenti sulle nuove pubblicazioni.
La decisione della Corte Edu su Bolzaneto, un altro grido nel deserto. L’Italia volta le spalle alla Convenzione, si assolve e guarda alla tortura degli altri*
Il rito abbreviato nuovamente sotto la lente della Corte Europea dei diritti dell’uomo. La decisione <i>Fornataro c. Italia</i> (19 ottobre 2017)
Il rito abbreviato nuovamente sotto la lente della Corte Europea dei diritti dell’uomo. La decisione Fornataro c. Italia (19 ottobre 2017)
di Emma Rizzato
Con la decisione che si commenta, la Corte torna ad occuparsi del giudizio abbreviato, esaminando il caso esclusivamente alla luce e nel contesto della scelta processuale compiuta dall’imputato
10 novembre 2017
CEDU, pillole di luglio
CEDU, pillole di luglio
di Alice Pisapia
Le più interessanti pronunce della Corte Edu emesse a luglio 2017
16 ottobre 2017
Il licenziamento nullo per illiceità della causa o frode alla legge
Il licenziamento nullo per illiceità della causa o frode alla legge
di Marco Vitali
Con la sentenza n. 687 del 4 novembre 2016, il Tribunale di Vicenza ha dichiarato la nullità di un licenziamento per giustificato motivo oggettivo poiché intimato in frode alla legge, ai sensi dell’art. 1344 cc, ed ha applicato la tutela reintegratoria prevista al comma 1 dell’art. 18 Statuto dei lavoratori, nel testo modificato dalla legge n. 92/2012. Il caso induce ad alcune riflessioni attorno alla novella introdotta con il d.lgs n. 23/2015 che ha elevato a regola la tutela indennitaria, escludendo del tutto la tutela reintegratoria per i licenziamenti per giustificato motivo oggettivo. Nonostante la restrizione delle tutele così attuata, le categorie civilistiche della nullità – in particolare l’illiceità della causa – devono ritenersi operanti nella materia dei licenziamenti
11 ottobre 2017
Discriminazioni per età: Cenerentola ha perso per sempre la sua scarpetta
Discriminazioni per età: Cenerentola ha perso per sempre la sua scarpetta
di Federico Grillo Pasquarelli
Con l’attesa sentenza sul caso Abercrombie la Corte di giustizia Ue ha dichiarato che il contratto di lavoro intermittente – che, in base all’art. 34 d.lgs 276/2003, poteva essere concluso “in ogni caso” con soggetti di età inferiore a 25 anni – e persino la sua cessazione automatica al compimento dei 25 anni, non contrastano con la Direttiva 2000/78 e con il principio di non discriminazione per ragioni di età: la sentenza, che trascura la precedente giurisprudenza della stessa Cgue, non convince sotto vari profili
2 ottobre 2017
CEDU, pillole di giugno
CEDU, pillole di giugno
di Alice Pisapia
Le più interessanti pronunce della Corte Edu emesse a giugno 2017
23 settembre 2017
La Corte Edu e le leggi retroattive*
La violazione dell’art. 2 della Cedu con riferimento all’utilizzo permissivo della forza pubblica, quando da essa sia derivata la morte come conseguenza non intenzionale
La Cedu chiede all’Italia la soppressione del Tribunale per i minorenni? Anche no…
Discriminazione diretta per orientamento sessuale e organizzazioni di tendenza (nota a Corte d’appello di Trento, 23 febbraio 2017)
Discriminazione diretta per orientamento sessuale e organizzazioni di tendenza (nota a Corte d’appello di Trento, 23 febbraio 2017)
di Elisabetta Tarquini
La sentenza che si commenta, e che ha ritenuto discriminatorio per ragioni di orientamento sessuale il mancato rinnovo di un contratto a termine a un’insegnante di una scuola paritaria cattolica, prosegue la complessa opera di rivisitazione, o forse di ricostruzione, dei propri orientamenti avviata dalla giurisprudenza nazionale in ordine all’estensione e ai limiti dei divieti di discriminazione.
20 luglio 2017
Newsletter


Fascicolo 3/2017
A cosa serve la Corte di cassazione?
Le banche, poteri forti e diritti deboli
Osservatorio internazionale
La decisione della Corte Edu su Bolzaneto, un altro grido nel deserto. L’Italia volta le spalle alla Convenzione, si assolve e guarda alla tortura degli altri*
CGUE, pillole di settembre
CGUE, pillole di settembre
di Alice Pisapia
Le più interessanti pronunce della Corte del Lussemburgo emesse a settembre 2017
16 novembre 2017
Problemi fondamentali dell’empatia ed esperienza costituzionale americana
Il rito abbreviato nuovamente sotto la lente della Corte Europea dei diritti dell’uomo. La decisione <i>Fornataro c. Italia</i> (19 ottobre 2017)
Il rito abbreviato nuovamente sotto la lente della Corte Europea dei diritti dell’uomo. La decisione Fornataro c. Italia (19 ottobre 2017)
di Emma Rizzato
Con la decisione che si commenta, la Corte torna ad occuparsi del giudizio abbreviato, esaminando il caso esclusivamente alla luce e nel contesto della scelta processuale compiuta dall’imputato
10 novembre 2017
CEDU, pillole di luglio
CEDU, pillole di luglio
di Alice Pisapia
Le più interessanti pronunce della Corte Edu emesse a luglio 2017
16 ottobre 2017
La “questione migranti” nei paesi Ue: alcuni dati