home search menu
Il controllo datoriale delle comunicazioni elettroniche del lavoratore dopo la sentenza <i>Barbulescu 2</i> della Cedu
Osservatorio internazionale
Il controllo datoriale delle comunicazioni elettroniche del lavoratore dopo la sentenza Barbulescu 2 della Cedu
di Francesco Buffa
consigliere della Corte di cassazione, distaccato alla Corte europea dei diritti dell’uomo
La sentenza Barbulescu c. Romania del 5 settembre 2017 della Grande Camera della Corte Edu, in riforma del precedente della Camera semplice del 12 gennaio 2016, riscrive le linee fondamentali di protezione del lavoratore dal controllo datoriale sulle e-mail aziendali

Il potere di controllo del datore di lavoro sulle comunicazioni del lavoratore trasmesse tramite strumenti informatici aziendali, in presenza di policy aziendale che recante espresso ma generico divieto di uso delle risorse aziendali per scopi personali, ha avuto fino ad oggi nel sistema giuridico italiano un riconoscimento ampio.

In sede penale, si è esclusa − in capo al datore di lavoro che controlli le comunicazioni elettroniche del lavoratore − la configurabilità del reato di violazione della corrispondenza e di accesso abusivo a sistema informatico (Cass., n. 47096/07 e Trib. Milano, 10 maggio 2002), pur riconoscendosi la pertinenza della casella di posta al lavoratore (Cass., n. 38331/16).

La giurisprudenza del lavoro, dal canto suo, ha escluso dall’ambito di applicazione dell’art. 4 dello Statuto dei lavoratori (e dai limiti al controllo a distanza del lavoratore dallo stesso previsti) i cd. controlli difensivi, che il datore poneva in essere per dimostrare un illecito posto in essere dal lavoratore (Cass. n. 4746/2002; n. 4375/2010), giungendo peraltro, attraverso un’estensione della nozione, a legittimare fatti penalmente indifferenti e rilevanti solo sul piano disciplinare o in relazione alla mera difesa dell’immagine aziendale (Cass., n. 2722/2012) o addirittura al corretto adempimento della prestazione lavorativa (sul tema specifico dei controlli datoriali sulla navigazione Internet del lavoratore – Trib. Milano, 16 giugno 2001 e Trib. Genova, 2 maggio 2005; Cass., n. 16622/2012 ed altre successive – come noto, hanno però poi escluso che i dati dei controlli a distanza possano essere utilizzati per provare l’inadempimento contrattuale dei lavoratori medesimi).

Più di recente, altra pronuncia di legittimità (Cass., n. 17859/2014) ha ammesso la legittimità del licenziamento del lavoratore che aveva violato il divieto di accesso alla rete Internet e di utilizzo della posta elettronica per scopi personali, divieto contenuto nel codice disciplinare affisso nella bacheca aziendale (nella specie, peraltro, si trattava di un complesso di condotte illecite, in quanto il dipendente aveva installato programmi di file-sharing, software per l’accesso alla e-mail personale ed effettuato il download di foto e filmati pornografici).

Altra sentenza ancora (Cass., n. 22353/2015) ha sottolineato la necessità di far riferimento alle sanzioni previste dalla contrattazione collettiva per l’uso indebito delle risorse informatiche e della posta elettronica.

Perfino la giurisprudenza contabile è intervenuta in materia, ravvisando la responsabilità del dipendente pubblico per il danno cagionato all’amministrazione in relazione al tempo di lavoro sottratto durante le attività su Internet per scopi personali (Corte dei conti del Piemonte, 13 novembre 2003).

La dottrina, dal canto suo, con specifico riferimento all’uso di Internet sul lavoro per scopi personali, ha affermato in diverse occasioni la liceità del controllo datoriale, fondandolo sulla proprietà degli strumenti aziendali (la proprietà degli strumenti aziendali e amministrativi consente al datore di disporre del relativo uso come ritiene più opportuno e di pretendere che sia effettuato un utilizzo degli stessi conforme alle direttive), sulla correlata responsabilità del datore (il proprietario di un sistema di computer in rete è responsabile per tutte le relative utilizzazioni verso i terzi, siano esse di natura professionale come personale), o ancora sull’obbligo di lavoro (sicché l’uso improprio o abusivo degli strumenti di lavoro da parte dei dipendenti può costituire un inadempimento alle obbligazioni del contratto di lavoro).

Le obiezioni di chi richiamava le esigenze di protezione della privacy del lavoratore nel luogo di lavoro o, con riferimento alle email del lavoratore o alla messaggistica, la protezione delle comunicazioni, sono state dai più superate attraverso la valorizzazione della policy aziendale, quale strumento da rendere noto preventivamente al lavoratore e con il quale si può legittimamente prevedere il divieto all’uso per scopi personali degli strumenti informatici sul posto di lavoro, senza che il lavoratore possa poi invocare alcuna “aspettativa di privacy”.

Di recente, è intervenuto lo stesso legislatore, con il Jobs Act del d.lgs n. 151/2015, riscrivendo l’art. 4 dello Statuto dei lavoratori, in modo che da un lato si escludono gli strumenti utilizzati dal lavoratore per rendere la prestazione lavorativa dagli strumenti di controllo per i quali è prescritta apposita procedura collettiva/amministrativa autorizzatoria e, dall’altro lato, si consente l’utilizzazione delle informazioni raccolte attraverso i detti strumenti «a tutti i fini connessi al rapporto di lavoro», sia pur alla duplice condizione che al lavoratore sia data adeguata informazione delle modalità di uso degli strumenti e dell’effettuazione dei controlli e che gli strumenti siano utilizzati nel rispetto del codice della privacy.

A tale quadro, si è poi aggiunta la sentenza della Cedu del 12 gennaio 2016 (Barbulescu v. Romania): nel caso, caratterizzato da un divieto espresso di uso dei computer aziendali per scopi personali contenuto in un regolamento interno reso noto ai dipendenti, la Corte aveva ritenuto legittimo il monitoraggio fatto dal datore sulle comunicazioni elettroniche (nella specie tramite il programma Messenger) del lavoratore e legittimo altresì il successivo licenziamento del lavoratore per il solo fatto della violazione della policy aziendale.

In quell’occasione, la decisione ha suscitato le critiche veementi di un giudice dissenziente che, configurato l’accesso ad Internet quale diritto umano, ha sottolineato la protezione delle comunicazioni Internet del lavoratore in varie fonti del diritto internazionale, ed ha evidenziato che la policy aziendale non può rilevare se «poorly drafted», ossia se non prevede e salvaguarda una serie di tutele in favore del lavoratore, fermo restando in ogni caso la necessità della verifica della proporzionalità della sanzione irrogata dal datore – all’esito del controllo delle comunicazioni del lavoratore – rispetto al fatto ascritto.

In data 5 settembre 2017, la Gande Chambre della Corte europea, a seguito di referral del ricorrente, è tornata sul tema, pervenendo, a maggioranza, ad una soluzione del tutto diversa dal proprio specifico precedente, e stabilendo alcuni principi fondamentali:

- l’applicabilità della protezione della privacy anche nel caso in cui il datore di lavoro abbia approvato specifica policy recante espresso divieto di uso delle e-mail aziendali per scopi personali;

- l’affermazione dell’obbligo dello Stato, pur in presenza di un ampio margine di apprezzamento, di assicurare che siano predisposte misure protettive contro eventuali abusi da parte del datore di lavoro;

- l’affermazione che la compliance degli Stati con l’obbligazione positiva di protezione della privacy dei lavoratori è assicurata da vari fattori, tra i quali in particolare rilevano la previa informativa datoriale circa la facoltà di monitoraggio delle e-mail, la portata ed estensione del controllo, la giustificazione dello stesso, la configurabilità di misure alternative meno invasive, la gravità delle conseguenze del controllo, la previsione di garanzie in favore del dipendente. Tutti tali fattori, infatti, incidono sull’equo contemperamento degli interessi confliggenti, che gli Stati devono assicurare a garanzia della protezione del diritto di cui all’articolo 8 della Convenzione.

La sentenza è importante non solo per il cambio di rotta rispetto al precedente specifico, non solo in quanto si ritiene essenziale la predisposizione di una policy aziendale in difetto della quale nessun controllo datoriale appare legittimo (il relativo principio era già stato affermato dalla stessa Corte nella sentenza Copland v. Regno Unito di Gran Bretagna del 2007, su ricorso n. 62617/2000), ma perché si indica analiticamente quale debba essere il contenuto della policy e quali tutele spettino in ogni caso al lavoratore.

In tal senso, degni di nota sono, in particolare, i punti 121 e 122 della sentenza, ove si elenca una sorta di decalogo che la policy aziendale deve rispettare a tutela del lavoratore, le cui garanzie devono necessariamente essere protette dalle autorità nazionali, pena l’illegittimità del controllo datoriale; si deve così verificare:

«(i) se il dipendente sia stato preventivamente informato della possibilità che il datore di lavoro controlli la corrispondenza e altre comunicazioni e dell’attuazione di tali misure;

(ii) quale sia l’estensione del controllo da parte del datore di lavoro e il grado di intrusione nella privacy del dipendente, distinguendo in proposito tra il monitoraggio del flusso delle comunicazioni e del loro contenuto, nonché il carattere totale o parziale dei dati monitorati, la durata nel tempo del monitoraggio, il numero di persone che hanno avuto accesso ai risultati, l’esistenza o l’assenza di limiti spaziali del monitoraggio;

(iii) se il datore di lavoro abbia fornito motivazioni legittime per giustificare il monitoraggio delle comunicazioni e l’accesso ai loro contenuti effettivi, posto che il monitoraggio del contenuto delle comunicazioni è per natura un metodo chiaramente più invasivo, richiede una giustificazione più ampia;

(iv) se fosse stato possibile istituire un sistema di monitoraggio basato su metodi e misure meno intrusivi che non accedere direttamente al contenuto delle comunicazioni del dipendente, e se dunque l’obiettivo perseguito dal datore di lavoro avesse potuto essere raggiunto senza accedere direttamente all’intero contenuto delle comunicazioni del dipendente;

(v) quali siano le conseguenze del monitoraggio per il lavoratore subordinato e quale l’uso da parte del datore di lavoro dei risultati dell’operazione di monitoraggio, in particolare se tale uso sia conforme con lo scopo perseguito e dichiarato, e se sia necessario in relazione allo stesso;

(vi) se siano state predisposte adeguate misure di salvaguardia in favore del lavoratore, in particolare quando le attività di controllo del datore di lavoro siano di natura intrusiva, prevedendosi ad esempio che il datore di lavoro non possa accedere al contenuto effettivo delle comunicazioni, a meno che il lavoratore non sia stato avvisato in anticipo di tale eventualità».

Infine, si prevede che le autorità nazionali devono assicurare che un dipendente la cui comunicazione sia stata monitorata abbia accesso a un rimedio davanti a un organo giudiziario competente a determinare, almeno in sostanza, come siano stati osservati i criteri predetti e se le misure contestate siano state legittime.

Non si tratta dunque solo – bisogna sottolinearlo con forza – di prevedere una policy dal contenuto ampia, con l’indicazione delle garanzie del lavoro sopra indicate, ma di assicurare concretamente strumenti operativi con i quali rendere effettive quelle garanzie.

La vicenda non è stata a senso unico a favore del lavoratore, e stupisce nella sentenza il mancato riconoscimento del risarcimento dei danni materiali e morali in favore del lavoratore, danni pur notevoli e causalmente riconducibili alla violazione dell’art. 8 della Convenzione (posto che sulla base ed all’esito del controllo illecito il lavoratore ha perso il lavoro e le retribuzioni, mentre il mero accertamento della violazione della Convenzione da parte dello Stato – a tacer dello scarso rilievo dissuasivo verso l’autore dell’illecito – è sempre magra consolazione per chi ha subito danni morali dalla lesione di un suo diritto fondamentale).

Per altro verso, la decisione Barbulescu 2 non è stata unanime, e diverse opinioni dissenzienti (tra cui quella del giudice italiano) hanno richiamato l’assenza di un european consensus in materia e, correlativamente, l’ampio margine di apprezzamento di cui gli Stati dispongono in materia, che consente agli ordinamenti nazionali di prevedere forme di tutela non necessariamente laburistiche (ma, ad esempio, penalistiche, di tutela della privacy o civilistiche nell’ambito della tort law), una posizione questa che presuppone che il lavoratore possa veder tutelati i suoi diritti ovunque, ma non all’interno del rapporto di lavoro privato (rispetto al quale gli obblighi positivi dello Stato di protezione ex art. 8 della Convenzione si dovrebbero, chissà perché, arrestare).

La sentenza Barbulescu 2 (che – sebbene resa verso altro Paese – reca i consueti effetti delle sentenze Cedu nei confronti degli ordinamenti degli altri Paesi) rende dunque operanti direttamente all’interno del rapporto di lavoro tutte le garanzie che la disciplina della privacy in genere prevede nel trattamento dei dati personali ed ha dunque un contenuto fortemente progressivo per le tutele del lavoro che vengono in tal modo ad essere consacrate.

Ciò rileva in particolare per l’ordinamento italiano, ove il Garante della privacy ha in più occasioni (dapprima nelle Linee Guida per posta elettronica ed Internet del 2007 e poi vari provvedimenti dal 2006 ad oggi, in particolare quelli del 2 febbraio 2006, 2 aprile 2008, 13 luglio 2016, 12 ottobre 2016, 22 dicembre 2016) previsto vari ed intensi limiti al controllo della posta elettronica dei dipendenti ed anche la Cassazione, in un’occasione (n. 18443/2013), ha applicato al trattamento dei dati del lavoratore operato dal datore per dimostrare l’illiceità della condotta di un suo dipendente (consistita in reiterati e non autorizzati accessi alla rete effettuati sul luogo di lavoro) i canoni della correttezza, pertinenza, necessità e non eccedenza rispetto alle finalità del loro utilizzo previsti dalla legge sulla privacy, nonché i principi rafforzati relativi alla tutela dei dati sensibili.

Dopo la Barbulescu 2, non sembra potersi più dubitare, allora, che i detti limiti oggi valgano non solo ai fini del trattamento lecito dei dati personali (e dell’eventuale risarcimento danni che compete all’interessato in caso di violazione, sulla base della legge sulla privacy),  ma anche ai fini della legittimità del controllo datoriale per ogni aspetto rilevante nell’ambito del rapporto di lavoro (ad esempio a fini di valutazione del lavoratore o a fini disciplinari), sicché le previsioni di policy aziendali, codici disciplinari, norme contrattuali possono assumere rilievo solo nei limiti evidenziati, dovendo invece in ogni caso essere assicurati in favore del lavoratore strumenti di tutela (e quell’ampia gamma di strumenti sopra indicati) verso i controlli a distanza, pur preterintenzionali, posti in essere dal datore di lavoro.

18 ottobre 2017
Se ti piace questo articolo e trovi interessante la nostra rivista, iscriviti alla newsletter per ricevere gli aggiornamenti sulle nuove pubblicazioni.
Gestation pour autrui: la prima richiesta di parere consultivo alla Cedu
Gestation pour autrui: la prima richiesta di parere consultivo alla Cedu
di Francesco Buffa
Il nuovo istituto del parere consultivo alla Cedu, introdotto dal Protocollo addizionale n. 16, è stato attivato per la prima volta dalla Corte di cassazione francese, che ha richiesto un doppio parere in materia del cd. utero surrogato, in relazione alla trascrizione di atti dello stato civile formati all’estero ed al procedimento di adozione
11 ottobre 2018
Il dialogo fra le Corti e le sorti (sembra non magnifiche, né progressive) dell’integrazione europea
Il dialogo fra le Corti e le sorti (sembra non magnifiche, né progressive) dell’integrazione europea
di Antonello Cosentino
Il giudice comune nazionale ha sempre avuto con la Cgue relazioni più fluide rispetto a quelle intrattenute con la Cedu. A partire dalla sentenza 14 dicembre 2017 n. 269 della Corte costituzionale, però, lo schema dell’applicazione diretta del diritto euro-unitario da parte del giudice nazionale sembra essere stato rimesso in discussione. La Corte costituzionale ha rivendicato la propria centralità nella dialettica tra giudice comune, giudice costituzionale e Cgue. Dagli equilibri che si raggiungeranno in tale dialettica dipenderà grande parte del ruolo che il giudice nazionale giocherà nel futuro dell’integrazione europea
1 ottobre 2018
La Corte Edu attaccata, ieri e oggi. Di chi è la colpa?
La Corte Edu attaccata, ieri e oggi. Di chi è la colpa?
di Roberto Conti
La vicenda dell’evacuazione del campo rom di Camping River, attuata nonostante la sospensione disposta dalla Corte Edu in via d’urgenza, è l’occasione per una riflessione su una cultura giuridica sovranista che dimentica le ragioni che hanno portato gli Stati a creare una Corte europea pace di tutelare i diritti umani anche davanti ad azioni delle autorità nazionali. Un campanello d’allarme e un invito a cambiar strada
28 luglio 2018
CEDU, pillole di maggio
CEDU, pillole di maggio
di Alice Pisapia
Le più interessanti pronunce della Corte Edu emesse a maggio 2018
24 luglio 2018
CEDU, pillole di aprile
CEDU, pillole di aprile
di Alice Pisapia
Le più interessanti pronunce della Corte Edu emesse ad aprile 2018
13 luglio 2018
Da Strasburgo via libera alla confisca urbanistica senza condanna
Da Strasburgo via libera alla confisca urbanistica senza condanna
di Marco Bignami
Viene commentata la sentenza della Grande Camera G.I.E.M. e altri c. Italia del 28 giugno 2018, attinente al regime della confisca urbanistica. Si sottolinea, in particolare, che deve ritenersi in linea di principio conforme alla Convenzione l’applicazione di tale sanzione, anche unitamente alla dichiarazione di estinzione del reato per prescrizione, a condizione che sia stata accertata incidentalmente la colpevolezza dell’imputato
10 luglio 2018
La Banca dati nazionale del Dna e la salvaguardia del diritto al rispetto della vita privata del singolo
La Banca dati nazionale del Dna e la salvaguardia del diritto al rispetto della vita privata del singolo
di Emilio Gatti
La raccolta a fini investigativi e la conservazione dei profili genetici pone delicati problemi di compatibilità delle esigenze investigative con il diritto al rispetto della vita privata e familiare previsto dall’art. 8 della Cedu soprattutto nei confronti di individui indagati ma poi assolti con sentenza definitiva. Il contributo ripercorre la giurisprudenza della Corte europea dei diritti dell’uomo, l’obbligo di creare una banca dati nazionale del Dna stabilito dal Trattato di Prüm e le soluzioni adottate dal legislatore italiano che paiono rispettose dei principi convenzionali e costituzionali, in attesa di verificare la correttezza delle prassi applicative
6 giugno 2018
CEDU, pillole di marzo
CEDU, pillole di marzo
di Alice Pisapia
Le più interessanti pronunce della Corte Edu emesse a marzo 2018
25 maggio 2018
Quale sanzione per il licenziamento tardivo?
Commento alla sentenza della Cassazione n. 30985/2017 (Sez. Unite)
Quale sanzione per il licenziamento tardivo? Commento alla sentenza della Cassazione n. 30985/2017 (Sez. Unite)
di Anna Terzi
Attraverso l’esercizio del potere disciplinare il datore di lavoro può imporre l’esatto adempimento della prestazione, colpendo con la sanzione la condotta non conforme. Il trascorrere del tempo senza contestazioni è invece significativo di una valutazione datoriale di fiducia sull’esatto adempimento della prestazione per il futuro, senza necessità di un intervento sanzionatorio. Il licenziamento per giusta causa o giustificato motivo soggettivo, massima sanzione disciplinare, presuppone un inadempimento talmente grave da far venire meno l’elemento fiduciario. Non vi può essere compatibilità tra l’assenza di contestazioni protratta per lungo tempo in ordine alla condotta pienamente conosciuta che si assume inadempiente e l’interesse del datore di lavoro a sanzionarla, e tanto meno tra l’assenza di contestazioni e l’elisione dell’elemento fiduciario del rapporto.
21 maggio 2018
La Dichiarazione di Copenaghen sull’avvenire della Corte Edu
La Dichiarazione di Copenaghen sull’avvenire della Corte Edu
di Emma Rizzato
Gli Stati membri del Consiglio d’Europa hanno discusso, sotto la presidenza danese, del futuro del sistema convenzionale e formulato raccomandazioni con l'obiettivo di garantire maggiore qualità e efficienza ai meccanismi nazionali di protezione dei diritti umani e all'azione della Cedu
14 maggio 2018
Newsletter


Fascicolo 2/2018
L’ospite straniero.
La protezione internazionale
nel sistema multilivello di tutela
dei diritti fondamentali
Osservatorio internazionale
Gestation pour autrui: la prima richiesta di parere consultivo alla Cedu
Gestation pour autrui: la prima richiesta di parere consultivo alla Cedu
di Francesco Buffa
Il nuovo istituto del parere consultivo alla Cedu, introdotto dal Protocollo addizionale n. 16, è stato attivato per la prima volta dalla Corte di cassazione francese, che ha richiesto un doppio parere in materia del cd. utero surrogato, in relazione alla trascrizione di atti dello stato civile formati all’estero ed al procedimento di adozione
11 ottobre 2018
Il diritto di asilo costituzionalmente garantito versus il concetto di “Stato terzo sicuro” nel parere dell’Assemblea generale del Consiglio di Stato francese
Il diritto di asilo costituzionalmente garantito versus il concetto di “Stato terzo sicuro” nel parere dell’Assemblea generale del Consiglio di Stato francese
di Serena Bolognese
Un’Europa insicura circondata da Paesi sicuri? Il concetto di “Stato terzo sicuro” alla prova del diritto costituzionale d’asilo nel parere del Consiglio di Stato francese
3 ottobre 2018
CEDU, pillole di giugno
CEDU, pillole di giugno
di Alice Pisapia
Le più interessanti pronunce della Corte Edu emesse a giugno 2018
28 settembre 2018
CGUE, pillole di giugno
CGUE, pillole di giugno
di Alice Pisapia
Le più interessanti pronunce della Corte del Lussemburgo emesse a giugno 2018
21 settembre 2018
Stati Uniti: le armi da fuoco, le stragi e un diritto da Far-West
Stati Uniti: le armi da fuoco, le stragi e un diritto da Far-West
di Elisabetta Grande
Qual è la fonte del diritto ad armarsi negli Stati Uniti? Un simile diritto è da sempre garantito ai cittadini americani? Quali ne sono i limiti? Esplorare la portata del diritto alle armi in quel Paese e le gravi conseguenze sulla vita e la morte di chi vi vive, significa capire le ragioni delle proteste dei tanti giovani americani per i quali quel diritto rappresenta una minaccia. Significa anche aver consapevolezza di quel che potrebbe accadere da noi qualora allargassimo le maglie della possibilità di armarci, come in base all’ultimo rapporto del Censis molti italiani parrebbero volere
12 settembre 2018
Il Conseil constitutionnel cancella il délit de solidarité… o no?
L’aiuto all’ingresso, al soggiorno e alla circolazione di stranieri irregolari nel territorio francese in una recente decisione del Conseil constitutionnel
Il Conseil constitutionnel cancella il délit de solidarité… o no? L’aiuto all’ingresso, al soggiorno e alla circolazione di stranieri irregolari nel territorio francese in una recente decisione del Conseil constitutionnel
di Sara Benvenuti
Può la solidarietà configurare un’ipotesi di reato? In Francia, se finalizzata a prestare aiuto all’ingresso o (fino a poco tempo fa) alla circolazione di stranieri irregolari, sì. Prende il nome, nel gergo comune, di délit de solidarité (o di délit d’hospitalité) ed è al centro di un’annosa vicenda giudiziaria che vede come protagonista, tra gli altri, Cédric Herrou, contadino francese divenuto da alcuni anni uomo-simbolo della difesa dei migranti in transito sulla Val Roia al confine con l’Italia. Sulla questione è intervenuta recentemente un’importante decisione del Conseil constitutionnel che, affermando il valore costituzionale della fraternità, sembra voler richiamare all’ordine il legislatore, imponendogli maggior cautela nel punire coloro che mossi da puro intento solidaristico prestano aiuto a stranieri irregolari sul territorio francese. Ma è realmente così?
7 settembre 2018