home search menu
Il controllo datoriale delle comunicazioni elettroniche del lavoratore dopo la sentenza <i>Barbulescu 2</i> della Cedu
Osservatorio internazionale
Il controllo datoriale delle comunicazioni elettroniche del lavoratore dopo la sentenza Barbulescu 2 della Cedu
di Francesco Buffa
consigliere della Corte di cassazione distacccato alla Corte europea dei diritti dell’Uomo
La sentenza Barbulescu c. Romania del 5 settembre 2017 della Grande Camera della Corte Edu, in riforma del precedente della Camera semplice del 12 gennaio 2016, riscrive le linee fondamentali di protezione del lavoratore dal controllo datoriale sulle e-mail aziendali

Il potere di controllo del datore di lavoro sulle comunicazioni del lavoratore trasmesse tramite strumenti informatici aziendali, in presenza di policy aziendale che recante espresso ma generico divieto di uso delle risorse aziendali per scopi personali, ha avuto fino ad oggi nel sistema giuridico italiano un riconoscimento ampio.

In sede penale, si è esclusa − in capo al datore di lavoro che controlli le comunicazioni elettroniche del lavoratore − la configurabilità del reato di violazione della corrispondenza e di accesso abusivo a sistema informatico (Cass., n. 47096/07 e Trib. Milano, 10 maggio 2002), pur riconoscendosi la pertinenza della casella di posta al lavoratore (Cass., n. 38331/16).

La giurisprudenza del lavoro, dal canto suo, ha escluso dall’ambito di applicazione dell’art. 4 dello Statuto dei lavoratori (e dai limiti al controllo a distanza del lavoratore dallo stesso previsti) i cd. controlli difensivi, che il datore poneva in essere per dimostrare un illecito posto in essere dal lavoratore (Cass. n. 4746/2002; n. 4375/2010), giungendo peraltro, attraverso un’estensione della nozione, a legittimare fatti penalmente indifferenti e rilevanti solo sul piano disciplinare o in relazione alla mera difesa dell’immagine aziendale (Cass., n. 2722/2012) o addirittura al corretto adempimento della prestazione lavorativa (sul tema specifico dei controlli datoriali sulla navigazione Internet del lavoratore – Trib. Milano, 16 giugno 2001 e Trib. Genova, 2 maggio 2005; Cass., n. 16622/2012 ed altre successive – come noto, hanno però poi escluso che i dati dei controlli a distanza possano essere utilizzati per provare l’inadempimento contrattuale dei lavoratori medesimi).

Più di recente, altra pronuncia di legittimità (Cass., n. 17859/2014) ha ammesso la legittimità del licenziamento del lavoratore che aveva violato il divieto di accesso alla rete Internet e di utilizzo della posta elettronica per scopi personali, divieto contenuto nel codice disciplinare affisso nella bacheca aziendale (nella specie, peraltro, si trattava di un complesso di condotte illecite, in quanto il dipendente aveva installato programmi di file-sharing, software per l’accesso alla e-mail personale ed effettuato il download di foto e filmati pornografici).

Altra sentenza ancora (Cass., n. 22353/2015) ha sottolineato la necessità di far riferimento alle sanzioni previste dalla contrattazione collettiva per l’uso indebito delle risorse informatiche e della posta elettronica.

Perfino la giurisprudenza contabile è intervenuta in materia, ravvisando la responsabilità del dipendente pubblico per il danno cagionato all’amministrazione in relazione al tempo di lavoro sottratto durante le attività su Internet per scopi personali (Corte dei conti del Piemonte, 13 novembre 2003).

La dottrina, dal canto suo, con specifico riferimento all’uso di Internet sul lavoro per scopi personali, ha affermato in diverse occasioni la liceità del controllo datoriale, fondandolo sulla proprietà degli strumenti aziendali (la proprietà degli strumenti aziendali e amministrativi consente al datore di disporre del relativo uso come ritiene più opportuno e di pretendere che sia effettuato un utilizzo degli stessi conforme alle direttive), sulla correlata responsabilità del datore (il proprietario di un sistema di computer in rete è responsabile per tutte le relative utilizzazioni verso i terzi, siano esse di natura professionale come personale), o ancora sull’obbligo di lavoro (sicché l’uso improprio o abusivo degli strumenti di lavoro da parte dei dipendenti può costituire un inadempimento alle obbligazioni del contratto di lavoro).

Le obiezioni di chi richiamava le esigenze di protezione della privacy del lavoratore nel luogo di lavoro o, con riferimento alle email del lavoratore o alla messaggistica, la protezione delle comunicazioni, sono state dai più superate attraverso la valorizzazione della policy aziendale, quale strumento da rendere noto preventivamente al lavoratore e con il quale si può legittimamente prevedere il divieto all’uso per scopi personali degli strumenti informatici sul posto di lavoro, senza che il lavoratore possa poi invocare alcuna “aspettativa di privacy”.

Di recente, è intervenuto lo stesso legislatore, con il Jobs Act del d.lgs n. 151/2015, riscrivendo l’art. 4 dello Statuto dei lavoratori, in modo che da un lato si escludono gli strumenti utilizzati dal lavoratore per rendere la prestazione lavorativa dagli strumenti di controllo per i quali è prescritta apposita procedura collettiva/amministrativa autorizzatoria e, dall’altro lato, si consente l’utilizzazione delle informazioni raccolte attraverso i detti strumenti «a tutti i fini connessi al rapporto di lavoro», sia pur alla duplice condizione che al lavoratore sia data adeguata informazione delle modalità di uso degli strumenti e dell’effettuazione dei controlli e che gli strumenti siano utilizzati nel rispetto del codice della privacy.

A tale quadro, si è poi aggiunta la sentenza della Cedu del 12 gennaio 2016 (Barbulescu v. Romania): nel caso, caratterizzato da un divieto espresso di uso dei computer aziendali per scopi personali contenuto in un regolamento interno reso noto ai dipendenti, la Corte aveva ritenuto legittimo il monitoraggio fatto dal datore sulle comunicazioni elettroniche (nella specie tramite il programma Messenger) del lavoratore e legittimo altresì il successivo licenziamento del lavoratore per il solo fatto della violazione della policy aziendale.

In quell’occasione, la decisione ha suscitato le critiche veementi di un giudice dissenziente che, configurato l’accesso ad Internet quale diritto umano, ha sottolineato la protezione delle comunicazioni Internet del lavoratore in varie fonti del diritto internazionale, ed ha evidenziato che la policy aziendale non può rilevare se «poorly drafted», ossia se non prevede e salvaguarda una serie di tutele in favore del lavoratore, fermo restando in ogni caso la necessità della verifica della proporzionalità della sanzione irrogata dal datore – all’esito del controllo delle comunicazioni del lavoratore – rispetto al fatto ascritto.

In data 5 settembre 2017, la Gande Chambre della Corte europea, a seguito di referral del ricorrente, è tornata sul tema, pervenendo, a maggioranza, ad una soluzione del tutto diversa dal proprio specifico precedente, e stabilendo alcuni principi fondamentali:

- l’applicabilità della protezione della privacy anche nel caso in cui il datore di lavoro abbia approvato specifica policy recante espresso divieto di uso delle e-mail aziendali per scopi personali;

- l’affermazione dell’obbligo dello Stato, pur in presenza di un ampio margine di apprezzamento, di assicurare che siano predisposte misure protettive contro eventuali abusi da parte del datore di lavoro;

- l’affermazione che la compliance degli Stati con l’obbligazione positiva di protezione della privacy dei lavoratori è assicurata da vari fattori, tra i quali in particolare rilevano la previa informativa datoriale circa la facoltà di monitoraggio delle e-mail, la portata ed estensione del controllo, la giustificazione dello stesso, la configurabilità di misure alternative meno invasive, la gravità delle conseguenze del controllo, la previsione di garanzie in favore del dipendente. Tutti tali fattori, infatti, incidono sull’equo contemperamento degli interessi confliggenti, che gli Stati devono assicurare a garanzia della protezione del diritto di cui all’articolo 8 della Convenzione.

La sentenza è importante non solo per il cambio di rotta rispetto al precedente specifico, non solo in quanto si ritiene essenziale la predisposizione di una policy aziendale in difetto della quale nessun controllo datoriale appare legittimo (il relativo principio era già stato affermato dalla stessa Corte nella sentenza Copland v. Regno Unito di Gran Bretagna del 2007, su ricorso n. 62617/2000), ma perché si indica analiticamente quale debba essere il contenuto della policy e quali tutele spettino in ogni caso al lavoratore.

In tal senso, degni di nota sono, in particolare, i punti 121 e 122 della sentenza, ove si elenca una sorta di decalogo che la policy aziendale deve rispettare a tutela del lavoratore, le cui garanzie devono necessariamente essere protette dalle autorità nazionali, pena l’illegittimità del controllo datoriale; si deve così verificare:

«(i) se il dipendente sia stato preventivamente informato della possibilità che il datore di lavoro controlli la corrispondenza e altre comunicazioni e dell’attuazione di tali misure;

(ii) quale sia l’estensione del controllo da parte del datore di lavoro e il grado di intrusione nella privacy del dipendente, distinguendo in proposito tra il monitoraggio del flusso delle comunicazioni e del loro contenuto, nonché il carattere totale o parziale dei dati monitorati, la durata nel tempo del monitoraggio, il numero di persone che hanno avuto accesso ai risultati, l’esistenza o l’assenza di limiti spaziali del monitoraggio;

(iii) se il datore di lavoro abbia fornito motivazioni legittime per giustificare il monitoraggio delle comunicazioni e l’accesso ai loro contenuti effettivi, posto che il monitoraggio del contenuto delle comunicazioni è per natura un metodo chiaramente più invasivo, richiede una giustificazione più ampia;

(iv) se fosse stato possibile istituire un sistema di monitoraggio basato su metodi e misure meno intrusivi che non accedere direttamente al contenuto delle comunicazioni del dipendente, e se dunque l’obiettivo perseguito dal datore di lavoro avesse potuto essere raggiunto senza accedere direttamente all’intero contenuto delle comunicazioni del dipendente;

(v) quali siano le conseguenze del monitoraggio per il lavoratore subordinato e quale l’uso da parte del datore di lavoro dei risultati dell’operazione di monitoraggio, in particolare se tale uso sia conforme con lo scopo perseguito e dichiarato, e se sia necessario in relazione allo stesso;

(vi) se siano state predisposte adeguate misure di salvaguardia in favore del lavoratore, in particolare quando le attività di controllo del datore di lavoro siano di natura intrusiva, prevedendosi ad esempio che il datore di lavoro non possa accedere al contenuto effettivo delle comunicazioni, a meno che il lavoratore non sia stato avvisato in anticipo di tale eventualità».

Infine, si prevede che le autorità nazionali devono assicurare che un dipendente la cui comunicazione sia stata monitorata abbia accesso a un rimedio davanti a un organo giudiziario competente a determinare, almeno in sostanza, come siano stati osservati i criteri predetti e se le misure contestate siano state legittime.

Non si tratta dunque solo – bisogna sottolinearlo con forza – di prevedere una policy dal contenuto ampia, con l’indicazione delle garanzie del lavoro sopra indicate, ma di assicurare concretamente strumenti operativi con i quali rendere effettive quelle garanzie.

La vicenda non è stata a senso unico a favore del lavoratore, e stupisce nella sentenza il mancato riconoscimento del risarcimento dei danni materiali e morali in favore del lavoratore, danni pur notevoli e causalmente riconducibili alla violazione dell’art. 8 della Convenzione (posto che sulla base ed all’esito del controllo illecito il lavoratore ha perso il lavoro e le retribuzioni, mentre il mero accertamento della violazione della Convenzione da parte dello Stato – a tacer dello scarso rilievo dissuasivo verso l’autore dell’illecito – è sempre magra consolazione per chi ha subito danni morali dalla lesione di un suo diritto fondamentale).

Per altro verso, la decisione Barbulescu 2 non è stata unanime, e diverse opinioni dissenzienti (tra cui quella del giudice italiano) hanno richiamato l’assenza di un european consensus in materia e, correlativamente, l’ampio margine di apprezzamento di cui gli Stati dispongono in materia, che consente agli ordinamenti nazionali di prevedere forme di tutela non necessariamente laburistiche (ma, ad esempio, penalistiche, di tutela della privacy o civilistiche nell’ambito della tort law), una posizione questa che presuppone che il lavoratore possa veder tutelati i suoi diritti ovunque, ma non all’interno del rapporto di lavoro privato (rispetto al quale gli obblighi positivi dello Stato di protezione ex art. 8 della Convenzione si dovrebbero, chissà perché, arrestare).

La sentenza Barbulescu 2 (che – sebbene resa verso altro Paese – reca i consueti effetti delle sentenze Cedu nei confronti degli ordinamenti degli altri Paesi) rende dunque operanti direttamente all’interno del rapporto di lavoro tutte le garanzie che la disciplina della privacy in genere prevede nel trattamento dei dati personali ed ha dunque un contenuto fortemente progressivo per le tutele del lavoro che vengono in tal modo ad essere consacrate.

Ciò rileva in particolare per l’ordinamento italiano, ove il Garante della privacy ha in più occasioni (dapprima nelle Linee Guida per posta elettronica ed Internet del 2007 e poi vari provvedimenti dal 2006 ad oggi, in particolare quelli del 2 febbraio 2006, 2 aprile 2008, 13 luglio 2016, 12 ottobre 2016, 22 dicembre 2016) previsto vari ed intensi limiti al controllo della posta elettronica dei dipendenti ed anche la Cassazione, in un’occasione (n. 18443/2013), ha applicato al trattamento dei dati del lavoratore operato dal datore per dimostrare l’illiceità della condotta di un suo dipendente (consistita in reiterati e non autorizzati accessi alla rete effettuati sul luogo di lavoro) i canoni della correttezza, pertinenza, necessità e non eccedenza rispetto alle finalità del loro utilizzo previsti dalla legge sulla privacy, nonché i principi rafforzati relativi alla tutela dei dati sensibili.

Dopo la Barbulescu 2, non sembra potersi più dubitare, allora, che i detti limiti oggi valgano non solo ai fini del trattamento lecito dei dati personali (e dell’eventuale risarcimento danni che compete all’interessato in caso di violazione, sulla base della legge sulla privacy),  ma anche ai fini della legittimità del controllo datoriale per ogni aspetto rilevante nell’ambito del rapporto di lavoro (ad esempio a fini di valutazione del lavoratore o a fini disciplinari), sicché le previsioni di policy aziendali, codici disciplinari, norme contrattuali possono assumere rilievo solo nei limiti evidenziati, dovendo invece in ogni caso essere assicurati in favore del lavoratore strumenti di tutela (e quell’ampia gamma di strumenti sopra indicati) verso i controlli a distanza, pur preterintenzionali, posti in essere dal datore di lavoro.

18 ottobre 2017
Se ti piace questo articolo e trovi interessante la nostra rivista, iscriviti alla newsletter per ricevere gli aggiornamenti sulle nuove pubblicazioni.
Principio di effettività e diritto del lavoro
Principio di effettività e diritto del lavoro
di Giovanni Armone
Il principio di effettività, elaborato dalla Corte di giustizia per assicurare piena attuazione agli strumenti normativi dell’Ue privi di efficacia diretta, stenta a trovare applicazione nell’ambito del diritto del lavoro, nonostante una importante corrente di pensiero ne abbia da tempo sottolineato il radicamento nei valori costituzionali. Consapevole della crisi attraversata dal diritto del lavoro e dai suoi formanti, dottrinale e giurisprudenziale, il saggio tenta di verificare, attraverso tre esercizi applicativi su tematiche di attualità (contratti a termine, poteri officiosi del giudice e licenziamenti illeciti), se il principio di effettività possa far riacquistare al diritto del lavoro la sua tradizionale capacità di lettura della realtà sociale e di interpretazione dei cambiamenti. Il tentativo è condotto suggerendo che tale rivalutazione possa avvenire inducendo il diritto del lavoro a reimparare dal diritto civile un uso più rigoroso delle categorie e ponendole, opportunamente innervate dai principi del diritto dell’Ue, a servizio di quei valori personali che del diritto del lavoro costituiscono da sempre la cifra identificativa.
24 aprile 2018
Detenzione di giornalisti e repressione della libertà di espressione: da Strasburgo un chiaro messaggio alla Turchia, ma verrà ascoltato?
Detenzione di giornalisti e repressione della libertà di espressione: da Strasburgo un chiaro messaggio alla Turchia, ma verrà ascoltato?
di Francesco Luigi Gatta
Con le due sentenze Şahin Alpay e Mehmet Hasan Altan del 20 marzo 2018, la Corte europea dei diritti dell’uomo dichiara la violazione da parte della Turchia del diritto alla libertà personale e alla libertà di espressione di due giornalisti posti in detenzione per aver espresso opinioni critiche nei confronti del governo. La Corte di Strasburgo va però oltre la vicenda dei due singoli ricorrenti, riconoscendo l’esistenza di gravi e diffusi problemi di rispetto dei diritti umani nell’ordinamento turco, soprattutto in riferimento alla libertà di esprimere il proprio dissenso, elemento che, si sottolinea con forza, rappresenta una caratteristica essenziale e irrinunciabile di una società democratica.
9 aprile 2018
CEDU, pillole di gennaio
CEDU, pillole di gennaio
di Alice Pisapia
Le più interessanti pronunce della Corte Edu emesse a gennaio 2018
4 aprile 2018
Quando la libertà prevale sulla morale: la pubblicità
Quando la libertà prevale sulla morale: la pubblicità
di Nicola Colaianni
Osservazioni sulla sentenza della Corte europea dei diritti umani (Sekmadienis Ltd. v. Lithuania) sul caso della pubblicità a sfondo religioso utilizzata da un’azienda lituana
1 marzo 2018
CEDU, pillole di dicembre
CEDU, pillole di dicembre
di Alice Pisapia
Le più interessanti pronunce della Corte Edu emesse a dicembre 2017
26 febbraio 2018
CEDU, pillole di novembre
CEDU, pillole di novembre
di Alice Pisapia
Le più interessanti pronunce della Corte Edu emesse a novembre 2017
8 febbraio 2018
Corte europea dei diritti dell'uomo, pubblicato il Rapporto 2017
Corte europea dei diritti dell'uomo, pubblicato il Rapporto 2017
Oggi a Strasburgo, si celebra l'inaugurazione dell'anno giudiziario. Tra gli ospiti il presidente della Corte di giustizia europea, Koen Lenaerts.
26 gennaio 2018
CEDU, pillole di ottobre
CEDU, pillole di ottobre
di Alice Pisapia
Le più interessanti pronunce della Corte Edu emesse a ottobre 2017
19 dicembre 2017
CEDU, pillole di settembre
CEDU, pillole di settembre
di Alice Pisapia
Le più interessanti pronunce della Corte Edu emesse a settembre 2017
14 dicembre 2017
La violazione dell’art. 7 Cedu per imprevedibilità dell’illecito penale
La violazione dell’art. 7 Cedu per imprevedibilità dell’illecito penale
di Giovanni Dinisi
Una definitiva risposta della Corte di Strasburgo all’overruling in malam partem esercitato dalle corti statali?
7 dicembre 2017
Newsletter


Fascicolo 4/2017
L’orgoglio dell’autogoverno
una sfida possibile per i 60 anni del Csm
Osservatorio internazionale
CGUE, pillole di febbraio
CGUE, pillole di febbraio
di Alice Pisapia
Le più interessanti pronunce della Corte del Lussemburgo emesse a febbraio 2018
18 aprile 2018
Il Tribunale permanente dei popoli condanna l’Italia e l’Unione europea per concorso in crimini contro l’umanità a causa delle politiche sull’immigrazione
Il Tribunale permanente dei popoli condanna l’Italia e l’Unione europea per concorso in crimini contro l’umanità a causa delle politiche sull’immigrazione
di Mario Ventrone
Dal Tribunale voluto da Lelio Basso arriva l’ennesima denuncia di illegittimità ed inopportunità etico-politica delle misure apprestate in Europa negli ultimi anni per bloccare il flusso di migranti. Un monito che riguarda tutti.
11 aprile 2018
Detenzione di giornalisti e repressione della libertà di espressione: da Strasburgo un chiaro messaggio alla Turchia, ma verrà ascoltato?
Detenzione di giornalisti e repressione della libertà di espressione: da Strasburgo un chiaro messaggio alla Turchia, ma verrà ascoltato?
di Francesco Luigi Gatta
Con le due sentenze Şahin Alpay e Mehmet Hasan Altan del 20 marzo 2018, la Corte europea dei diritti dell’uomo dichiara la violazione da parte della Turchia del diritto alla libertà personale e alla libertà di espressione di due giornalisti posti in detenzione per aver espresso opinioni critiche nei confronti del governo. La Corte di Strasburgo va però oltre la vicenda dei due singoli ricorrenti, riconoscendo l’esistenza di gravi e diffusi problemi di rispetto dei diritti umani nell’ordinamento turco, soprattutto in riferimento alla libertà di esprimere il proprio dissenso, elemento che, si sottolinea con forza, rappresenta una caratteristica essenziale e irrinunciabile di una società democratica.
9 aprile 2018
CEDU, pillole di gennaio
CEDU, pillole di gennaio
di Alice Pisapia
Le più interessanti pronunce della Corte Edu emesse a gennaio 2018
4 aprile 2018
CGUE, pillole di gennaio
CGUE, pillole di gennaio
di Alice Pisapia
Le più interessanti pronunce della Corte del Lussemburgo emesse a gennaio 2018
20 marzo 2018
La Carta dei diritti fondamentali dell’Unione europea e le tecniche decisorie idonee ad assicurarne la efficacia ed effettività