Magistratura democratica
Osservatorio internazionale

Il controllo datoriale delle comunicazioni elettroniche del lavoratore dopo la sentenza Barbulescu 2 della Cedu

di Francesco Buffa
consigliere della Corte di cassazione, distaccato alla Corte europea dei diritti dell’uomo
La sentenza Barbulescu c. Romania del 5 settembre 2017 della Grande Camera della Corte Edu, in riforma del precedente della Camera semplice del 12 gennaio 2016, riscrive le linee fondamentali di protezione del lavoratore dal controllo datoriale sulle e-mail aziendali

Il potere di controllo del datore di lavoro sulle comunicazioni del lavoratore trasmesse tramite strumenti informatici aziendali, in presenza di policy aziendale che recante espresso ma generico divieto di uso delle risorse aziendali per scopi personali, ha avuto fino ad oggi nel sistema giuridico italiano un riconoscimento ampio.

In sede penale, si è esclusa − in capo al datore di lavoro che controlli le comunicazioni elettroniche del lavoratore − la configurabilità del reato di violazione della corrispondenza e di accesso abusivo a sistema informatico (Cass., n. 47096/07 e Trib. Milano, 10 maggio 2002), pur riconoscendosi la pertinenza della casella di posta al lavoratore (Cass., n. 38331/16).

La giurisprudenza del lavoro, dal canto suo, ha escluso dall’ambito di applicazione dell’art. 4 dello Statuto dei lavoratori (e dai limiti al controllo a distanza del lavoratore dallo stesso previsti) i cd. controlli difensivi, che il datore poneva in essere per dimostrare un illecito posto in essere dal lavoratore (Cass. n. 4746/2002; n. 4375/2010), giungendo peraltro, attraverso un’estensione della nozione, a legittimare fatti penalmente indifferenti e rilevanti solo sul piano disciplinare o in relazione alla mera difesa dell’immagine aziendale (Cass., n. 2722/2012) o addirittura al corretto adempimento della prestazione lavorativa (sul tema specifico dei controlli datoriali sulla navigazione Internet del lavoratore – Trib. Milano, 16 giugno 2001 e Trib. Genova, 2 maggio 2005; Cass., n. 16622/2012 ed altre successive – come noto, hanno però poi escluso che i dati dei controlli a distanza possano essere utilizzati per provare l’inadempimento contrattuale dei lavoratori medesimi).

Più di recente, altra pronuncia di legittimità (Cass., n. 17859/2014) ha ammesso la legittimità del licenziamento del lavoratore che aveva violato il divieto di accesso alla rete Internet e di utilizzo della posta elettronica per scopi personali, divieto contenuto nel codice disciplinare affisso nella bacheca aziendale (nella specie, peraltro, si trattava di un complesso di condotte illecite, in quanto il dipendente aveva installato programmi di file-sharing, software per l’accesso alla e-mail personale ed effettuato il download di foto e filmati pornografici).

Altra sentenza ancora (Cass., n. 22353/2015) ha sottolineato la necessità di far riferimento alle sanzioni previste dalla contrattazione collettiva per l’uso indebito delle risorse informatiche e della posta elettronica.

Perfino la giurisprudenza contabile è intervenuta in materia, ravvisando la responsabilità del dipendente pubblico per il danno cagionato all’amministrazione in relazione al tempo di lavoro sottratto durante le attività su Internet per scopi personali (Corte dei conti del Piemonte, 13 novembre 2003).

La dottrina, dal canto suo, con specifico riferimento all’uso di Internet sul lavoro per scopi personali, ha affermato in diverse occasioni la liceità del controllo datoriale, fondandolo sulla proprietà degli strumenti aziendali (la proprietà degli strumenti aziendali e amministrativi consente al datore di disporre del relativo uso come ritiene più opportuno e di pretendere che sia effettuato un utilizzo degli stessi conforme alle direttive), sulla correlata responsabilità del datore (il proprietario di un sistema di computer in rete è responsabile per tutte le relative utilizzazioni verso i terzi, siano esse di natura professionale come personale), o ancora sull’obbligo di lavoro (sicché l’uso improprio o abusivo degli strumenti di lavoro da parte dei dipendenti può costituire un inadempimento alle obbligazioni del contratto di lavoro).

Le obiezioni di chi richiamava le esigenze di protezione della privacy del lavoratore nel luogo di lavoro o, con riferimento alle email del lavoratore o alla messaggistica, la protezione delle comunicazioni, sono state dai più superate attraverso la valorizzazione della policy aziendale, quale strumento da rendere noto preventivamente al lavoratore e con il quale si può legittimamente prevedere il divieto all’uso per scopi personali degli strumenti informatici sul posto di lavoro, senza che il lavoratore possa poi invocare alcuna “aspettativa di privacy”.

Di recente, è intervenuto lo stesso legislatore, con il Jobs Act del d.lgs n. 151/2015, riscrivendo l’art. 4 dello Statuto dei lavoratori, in modo che da un lato si escludono gli strumenti utilizzati dal lavoratore per rendere la prestazione lavorativa dagli strumenti di controllo per i quali è prescritta apposita procedura collettiva/amministrativa autorizzatoria e, dall’altro lato, si consente l’utilizzazione delle informazioni raccolte attraverso i detti strumenti «a tutti i fini connessi al rapporto di lavoro», sia pur alla duplice condizione che al lavoratore sia data adeguata informazione delle modalità di uso degli strumenti e dell’effettuazione dei controlli e che gli strumenti siano utilizzati nel rispetto del codice della privacy.

A tale quadro, si è poi aggiunta la sentenza della Cedu del 12 gennaio 2016 (Barbulescu v. Romania): nel caso, caratterizzato da un divieto espresso di uso dei computer aziendali per scopi personali contenuto in un regolamento interno reso noto ai dipendenti, la Corte aveva ritenuto legittimo il monitoraggio fatto dal datore sulle comunicazioni elettroniche (nella specie tramite il programma Messenger) del lavoratore e legittimo altresì il successivo licenziamento del lavoratore per il solo fatto della violazione della policy aziendale.

In quell’occasione, la decisione ha suscitato le critiche veementi di un giudice dissenziente che, configurato l’accesso ad Internet quale diritto umano, ha sottolineato la protezione delle comunicazioni Internet del lavoratore in varie fonti del diritto internazionale, ed ha evidenziato che la policy aziendale non può rilevare se «poorly drafted», ossia se non prevede e salvaguarda una serie di tutele in favore del lavoratore, fermo restando in ogni caso la necessità della verifica della proporzionalità della sanzione irrogata dal datore – all’esito del controllo delle comunicazioni del lavoratore – rispetto al fatto ascritto.

In data 5 settembre 2017, la Gande Chambre della Corte europea, a seguito di referral del ricorrente, è tornata sul tema, pervenendo, a maggioranza, ad una soluzione del tutto diversa dal proprio specifico precedente, e stabilendo alcuni principi fondamentali:

- l’applicabilità della protezione della privacy anche nel caso in cui il datore di lavoro abbia approvato specifica policy recante espresso divieto di uso delle e-mail aziendali per scopi personali;

- l’affermazione dell’obbligo dello Stato, pur in presenza di un ampio margine di apprezzamento, di assicurare che siano predisposte misure protettive contro eventuali abusi da parte del datore di lavoro;

- l’affermazione che la compliance degli Stati con l’obbligazione positiva di protezione della privacy dei lavoratori è assicurata da vari fattori, tra i quali in particolare rilevano la previa informativa datoriale circa la facoltà di monitoraggio delle e-mail, la portata ed estensione del controllo, la giustificazione dello stesso, la configurabilità di misure alternative meno invasive, la gravità delle conseguenze del controllo, la previsione di garanzie in favore del dipendente. Tutti tali fattori, infatti, incidono sull’equo contemperamento degli interessi confliggenti, che gli Stati devono assicurare a garanzia della protezione del diritto di cui all’articolo 8 della Convenzione.

La sentenza è importante non solo per il cambio di rotta rispetto al precedente specifico, non solo in quanto si ritiene essenziale la predisposizione di una policy aziendale in difetto della quale nessun controllo datoriale appare legittimo (il relativo principio era già stato affermato dalla stessa Corte nella sentenza Copland v. Regno Unito di Gran Bretagna del 2007, su ricorso n. 62617/2000), ma perché si indica analiticamente quale debba essere il contenuto della policy e quali tutele spettino in ogni caso al lavoratore.

In tal senso, degni di nota sono, in particolare, i punti 121 e 122 della sentenza, ove si elenca una sorta di decalogo che la policy aziendale deve rispettare a tutela del lavoratore, le cui garanzie devono necessariamente essere protette dalle autorità nazionali, pena l’illegittimità del controllo datoriale; si deve così verificare:

«(i) se il dipendente sia stato preventivamente informato della possibilità che il datore di lavoro controlli la corrispondenza e altre comunicazioni e dell’attuazione di tali misure;

(ii) quale sia l’estensione del controllo da parte del datore di lavoro e il grado di intrusione nella privacy del dipendente, distinguendo in proposito tra il monitoraggio del flusso delle comunicazioni e del loro contenuto, nonché il carattere totale o parziale dei dati monitorati, la durata nel tempo del monitoraggio, il numero di persone che hanno avuto accesso ai risultati, l’esistenza o l’assenza di limiti spaziali del monitoraggio;

(iii) se il datore di lavoro abbia fornito motivazioni legittime per giustificare il monitoraggio delle comunicazioni e l’accesso ai loro contenuti effettivi, posto che il monitoraggio del contenuto delle comunicazioni è per natura un metodo chiaramente più invasivo, richiede una giustificazione più ampia;

(iv) se fosse stato possibile istituire un sistema di monitoraggio basato su metodi e misure meno intrusivi che non accedere direttamente al contenuto delle comunicazioni del dipendente, e se dunque l’obiettivo perseguito dal datore di lavoro avesse potuto essere raggiunto senza accedere direttamente all’intero contenuto delle comunicazioni del dipendente;

(v) quali siano le conseguenze del monitoraggio per il lavoratore subordinato e quale l’uso da parte del datore di lavoro dei risultati dell’operazione di monitoraggio, in particolare se tale uso sia conforme con lo scopo perseguito e dichiarato, e se sia necessario in relazione allo stesso;

(vi) se siano state predisposte adeguate misure di salvaguardia in favore del lavoratore, in particolare quando le attività di controllo del datore di lavoro siano di natura intrusiva, prevedendosi ad esempio che il datore di lavoro non possa accedere al contenuto effettivo delle comunicazioni, a meno che il lavoratore non sia stato avvisato in anticipo di tale eventualità».

Infine, si prevede che le autorità nazionali devono assicurare che un dipendente la cui comunicazione sia stata monitorata abbia accesso a un rimedio davanti a un organo giudiziario competente a determinare, almeno in sostanza, come siano stati osservati i criteri predetti e se le misure contestate siano state legittime.

Non si tratta dunque solo – bisogna sottolinearlo con forza – di prevedere una policy dal contenuto ampia, con l’indicazione delle garanzie del lavoro sopra indicate, ma di assicurare concretamente strumenti operativi con i quali rendere effettive quelle garanzie.

La vicenda non è stata a senso unico a favore del lavoratore, e stupisce nella sentenza il mancato riconoscimento del risarcimento dei danni materiali e morali in favore del lavoratore, danni pur notevoli e causalmente riconducibili alla violazione dell’art. 8 della Convenzione (posto che sulla base ed all’esito del controllo illecito il lavoratore ha perso il lavoro e le retribuzioni, mentre il mero accertamento della violazione della Convenzione da parte dello Stato – a tacer dello scarso rilievo dissuasivo verso l’autore dell’illecito – è sempre magra consolazione per chi ha subito danni morali dalla lesione di un suo diritto fondamentale).

Per altro verso, la decisione Barbulescu 2 non è stata unanime, e diverse opinioni dissenzienti (tra cui quella del giudice italiano) hanno richiamato l’assenza di un european consensus in materia e, correlativamente, l’ampio margine di apprezzamento di cui gli Stati dispongono in materia, che consente agli ordinamenti nazionali di prevedere forme di tutela non necessariamente laburistiche (ma, ad esempio, penalistiche, di tutela della privacy o civilistiche nell’ambito della tort law), una posizione questa che presuppone che il lavoratore possa veder tutelati i suoi diritti ovunque, ma non all’interno del rapporto di lavoro privato (rispetto al quale gli obblighi positivi dello Stato di protezione ex art. 8 della Convenzione si dovrebbero, chissà perché, arrestare).

La sentenza Barbulescu 2 (che – sebbene resa verso altro Paese – reca i consueti effetti delle sentenze Cedu nei confronti degli ordinamenti degli altri Paesi) rende dunque operanti direttamente all’interno del rapporto di lavoro tutte le garanzie che la disciplina della privacy in genere prevede nel trattamento dei dati personali ed ha dunque un contenuto fortemente progressivo per le tutele del lavoro che vengono in tal modo ad essere consacrate.

Ciò rileva in particolare per l’ordinamento italiano, ove il Garante della privacy ha in più occasioni (dapprima nelle Linee Guida per posta elettronica ed Internet del 2007 e poi vari provvedimenti dal 2006 ad oggi, in particolare quelli del 2 febbraio 2006, 2 aprile 2008, 13 luglio 2016, 12 ottobre 2016, 22 dicembre 2016) previsto vari ed intensi limiti al controllo della posta elettronica dei dipendenti ed anche la Cassazione, in un’occasione (n. 18443/2013), ha applicato al trattamento dei dati del lavoratore operato dal datore per dimostrare l’illiceità della condotta di un suo dipendente (consistita in reiterati e non autorizzati accessi alla rete effettuati sul luogo di lavoro) i canoni della correttezza, pertinenza, necessità e non eccedenza rispetto alle finalità del loro utilizzo previsti dalla legge sulla privacy, nonché i principi rafforzati relativi alla tutela dei dati sensibili.

Dopo la Barbulescu 2, non sembra potersi più dubitare, allora, che i detti limiti oggi valgano non solo ai fini del trattamento lecito dei dati personali (e dell’eventuale risarcimento danni che compete all’interessato in caso di violazione, sulla base della legge sulla privacy),  ma anche ai fini della legittimità del controllo datoriale per ogni aspetto rilevante nell’ambito del rapporto di lavoro (ad esempio a fini di valutazione del lavoratore o a fini disciplinari), sicché le previsioni di policy aziendali, codici disciplinari, norme contrattuali possono assumere rilievo solo nei limiti evidenziati, dovendo invece in ogni caso essere assicurati in favore del lavoratore strumenti di tutela (e quell’ampia gamma di strumenti sopra indicati) verso i controlli a distanza, pur preterintenzionali, posti in essere dal datore di lavoro.

18/10/2017
Altri articoli di Francesco Buffa
Se ti piace questo articolo e trovi interessante la nostra rivista, iscriviti alla newsletter per ricevere gli aggiornamenti sulle nuove pubblicazioni.
Quale lavoro femminile al tempo del Covid-19: la «resilienza» salverà le donne?

Nonostante il dichiarato approccio mainstreaming di genere, il nuovo PNRR sembra guardare alla «questione femminile» in una «logica emergenziale» e di soccorso - la stessa che caratterizza gli ultimi provvedimenti del Governo Draghi a supporto dei genitori lavoratori -, senza che siano pianificate modifiche strutturali e riforme di ampio respiro idonee a garantire la parità di genere nel lungo periodo. Il rischio è che si perda, per l’ennesima volta, l’occasione per una vera e propria rivoluzione culturale idonea a favorire la concreta emancipazione economica, professionale e sociale delle donne.

22/06/2021
Il crocifisso di nuovo in Cassazione. Note da amicus curiae

L’esposizione del crocifisso nelle aule scolastiche viola il principio di laicità e, pur se votata a maggioranza dalla classe, è discriminatoria nei confronti degli studenti e dell’insegnante non consenzienti. La tutela del diritto di libertà di coscienza consente la rimozione del simbolo, ad opera eventualmente dello stesso insegnante per la durata della lezione.

16/06/2021
Il Protocollo 16 e l’urgenza di riaprire il dialogo con il Parlamento per la sua ratifica

Un imminente convegno di Area Cassazione rilancia il confronto fra Parlamento, giurisdizione e dottrina 

11/06/2021
La specificità del processo del lavoro e il cambiamento della prassi

I diritti non stanno nel processo come i prodotti a vista sugli scaffali di un supermercato: bisogna cercarli. Il giudice di merito del lavoro ha il dovere di compiere ogni sforzo consentito, prima di alzare le spalle, a fronte di rivendicazioni portate da un’utenza che la precarizzazione strutturale e la crisi economica hanno ulteriormente indebolito.

10/06/2021
La vittima ed il suo Giudice

La “storica” decisione della CEDU di condanna dello Stato italiano per violazione dell’art. 8 della Carta afferma il diritto della donna che denuncia una violenza sessuale al rispetto della sua vita privata, anche da parte dei Giudici che ne esaminano la credibilità, che non può essere affermata o negata in base alle sue abitudini sessuali, ed alle sue libere scelte di comportamento, in applicazione di canoni di moralità che rispecchiano stereotipi superati sul ruolo delle donne. Lo Stato è tenuto alla tutela della libertà della persona, e della sua dignità, tanto più nell’occasione dell’esercizio dell’attività giurisdizionale: un principio che Questione giustizia vuole rilanciare nel giorno della ricorrenza della istituzione della Repubblica italiana.

02/06/2021
Simmetrie tra diritti della persona offesa: equo processo e risarcimento del danno davanti alla Corte di Strasburgo

Corte EDU (Prima Sezione), 18 marzo 2021, ric. n. 24340/07, Petrella c. Italia: se le indagini si concludono con l'archiviazione per prescrizione si viola l'art. 6 § 1 CEDU. Un commento

01/06/2021
Enforcement delle sentenze lavoristiche e tutela dei diritti dei lavoratori: riflessioni a margine della giurisprudenza

Esprimendosi sulla natura degli emolumenti spettanti lavoratori in caso di inadempimento datoriale agli ordini giudiziali, la Corte di appello di Trento spinge a riflettere sull’inapplicabilità dell’art. 614 bis cpc al processo del lavoro

31/05/2021
Oltre un intangibile confine: principio paritario, ragionevoli accomodamenti e organizzazione dell'impresa. Nota a Cass. 6497/2021

La Corte di Cassazione torna ad occuparsi dell’obbligo di adottare accomodamenti ragionevoli a proposito del licenziamento del lavoratore disabile e il principio paritario si conferma strumento inedito di controllo dei poteri datoriali, capace di superare il confine, altrimenti intangibile, dell’organizzazione interna dell’impresa come determinata dal datore di lavoro.

24/05/2021