L’utilizzo sempre più frequente della posta elettronica all’interno dei dispositivi può inevitabilmente comportare un contrasto tra diritti primari confliggenti: quello del lavoratore alla privacy e riservatezza da un lato, e quello del datore di lavoro al controllo sull’attività per la tutela del patrimonio aziendale, dall’altro; da qui sorge l’esigenza di contemperare in modo armonico i diversi diritti sull’uso della tecnologia in ambito lavorativo, tema sempre più al centro di accesi dibattiti sull’interpretazione ed applicazione della disciplina vigente in materia.
Sintesi del quadro normativo di riferimento
Norme cardine di riferimento sono indubbiamente l’art. 4 dello Statuto dei Lavoratori (L. 300/1970), nonchè le linee guida dettate dal Garante per posta elettronica e internet con il provvedimento n. 13/07; queste disposizioni devono poi necessariamente essere poste in correlazione con l’art. 15 della Costituzione – che qualifica come inviolabili la libertà e la segretezza della corrispondenza e di ogni altra forma di comunicazione (limitabili solo con atto motivato dell’autorità giudiziaria), il c.d. codice della privacy (d.lgs. n. 101/2018) e l’art. 616 c.p., che punisce la violazione/sottrazione/soppressione della corrispondenza.
In sintesi, l’art. 4 sancisce:
- in linea di principio, l’ammissibilità (previo accordo collettivo stipulato dalla rappresentanza sindacale unitaria o dalle rappresentanze sindacali aziendali) dell’installazione da parte datoriale di impianti audiovisivi od altri strumenti di controllo “per esigenze organizzative e produttive, per la sicurezza del lavoro e per la tutela del patrimonio aziendale…”;
- che detti controlli non possono essere utilizzati per meri scopi “c.d. investigativi, ossia per effettuare “controlli circa gli accessi e le presenze dei lavoratori”;
- in ogni caso, che le informazioni raccolte in base a tale attività sono sì utilizzabili, ma solo a condizione che sia data al lavoratore adeguata informazione delle modalità d’uso degli strumenti e di effettuazione dei controlli e nel rispetto di quanto disposto dalla normativa privacy.
Per fare chiarezza sulla reale portata di tale disciplina di base, il Garante per posta elettronica e internet ha dettato le linee guida da seguire in merito al controllo di Internet/Intranet e della posta elettronica aziendale, secondo cui:
- il datore di lavoro ha l’onere di informare, in modo chiaro e particolareggiato, i dipendenti su quali siano le modalità ritenute corrette di utilizzo degli strumenti messi a disposizione e se, in che misura e con quali modalità, vengono effettuati controlli;
- i controlli datoriali per motivi organizzativi o di sicurezza sono leciti solo se rispettano i principi di pertinenza e non eccedenza;
- i sistemi software devono essere programmati e configurati in modo da cancellare periodicamente ed automaticamente i dati personali relativi agli accessi ad Internet ed al traffico telematico, la cui conservazione non sia necessaria;
- i datori di lavoro possono trattare i dati personali del lavoratore, diversi da quelli sensibili, per il legittimo esercizio di un diritto in sede giudiziaria, a fronte della manifestazione di un libero consenso o per un legittimo interesse.
La giurisprudenza
L’applicazione giurisprudenziale di tali principi alle fattispecie concrete è piuttosto variegata ed è dunque utile ripercorrerne brevemente i diversi orientamenti per individuare alcuni punti fermi sull’utilizzo dei servizi di posta elettronica da parte dei lavoratori ed i criteri/limiti/modalità di controllo da parte datoriale.
Secondo le più significative sentenze della Corte Europea dei Diritti dell’Uomo (Cedu), il datore di lavoro può controllare la posta elettronica dei dipendenti solo se ricorrono tre condizioni:
- il dipendente deve sapere in anticipo che il datore si è riservato la possibilità di sbirciare nella sua corrispondenza;
- il controllo delle email non può superare i limiti imposti dalla finalità del trattamento; pertanto, possono essere lette solo le email inviate ed attinenti a questioni che coinvolgono l’azienda;
- il datore deve consentire la “tracciabilità dei controlli” ed accesso ai risultati della sorveglianza.
Molto più rigorosa è la posizione della Cassazione, che regolamenta in modo nettamente distinto l’account di posta elettronica privato da quello aziendale assegnato al lavoratore:
- quanto a quello privato, lo ritiene del tutto inaccessibile, “pena la commissione di un reato e la violazione delle regole costituzionali sul segreto della corrispondenza”;
- quanto a quello aziendale, il relativo accesso, è subordinato alle specifiche condizioni sopra indicate, ossia la preventiva informativa al lavoratore delle modalità; controlli rispettosi e non eccedenti rispetto alle finalità perseguite e tracciabili; controlli consentiti solo per finalità di sicurezza nei limiti individuati dal Garante Privacy o qualora sussistano fondati sospetti nei confronti del dipendente infedele e sempre che il lavoratore sia al corrente della potenziale conservazione dei dati e della loro duplicazione”.
Sintesi
Gli orientamenti in materia di controlli a distanza sono sempre improntati al rispetto delle disposizioni dettate dalla normativa vigente – ed in particolar modo, com’è ovvio, dal codice della privacy – cercando, per quanto consentito, di contemperare la tutela della libertà e dignità del lavoratore con le legittime esigenze del datore di lavoro di ottimizzare le risorse a disposizione e mantenere, quindi, il controllo sul maggior numero possibile di aspetti che caratterizzano ogni singolo processo produttivo di beni e servizi. La policy aziendale deve dunque essere improntata al rispetto di questi basilari principi, regolamentando in modo chiaro e dettagliato l’utilizzo degli strumenti informatici da parte del lavoratore, informandolo preventivamente al riguardo affinchè venga rispettato il suo diritto alla segretezza e, nel contempo, questi ne faccia un uso consapevole e rispettoso della sicurezza e patrimonio aziendale.
